nhipt - Anfänger-Eingabeproblem

Desertbum

Neuer User
Mitglied seit
6 Mai 2007
Beiträge
36
Punkte für Reaktionen
0
Punkte
0
Hallo Gemeinde,

ich möchte gerne mein Wlan vom Lan mit iptables trennen.
Ich bin mit folgendem Howto vorgegangen (--> link)

Beim eingeben der INPUT-Regel für den Nameserver Port 53 bekomme ich folgende Fehlermeldung:
iptables: No chain/target/match by that name
Exit Code 0 - iptables -t filter -I INPUT 2 -i wlan -p tcp --dport 53 -j ACCEPT

Stimmt meine Syntax nicht? Oder hab ich ein Verständnisproblem?

Die Ausgabe von iptables -S:
/var/mod/root # iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 192.168.178.5/32 -j ACCEPT
-A FORWARD -i wlan -o wan -j ACCEPT
-A FORWARD -i wlan -j DROP
-A OUTPUT -d 192.168.178.5/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
/var/mod/root #

Beste Grüße

Desertbum
 
Gibt's denn ein Interface "wlan" bei Dir, d.h. taucht es in der Auswahl von "In IFC" im NHIPT-GUI oder in der Ausgabe von ifconfig auf?

Hier (7270 v2) gibt's nur wifi0 und ath0, was nach WLAN klingt. Welches davon das richtige ist, weiss ich leider auch nicht:

Code:
ath0      Link encap:Ethernet  HWaddr 00:1F:3F:17:4F:9D  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:2290  Metric:1
          RX packets:323857 errors:0 dropped:0 overruns:0 frame:0    
          TX packets:446233 errors:0 dropped:1618 overruns:0 carrier:0
          collisions:0 txqueuelen:1000                                
          RX bytes:57290076 (54.6 MiB)  TX bytes:347656810 (331.5 MiB)

wifi0     Link encap:Ethernet  HWaddr 00:1F:3F:17:4F:9D
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6463143 errors:0 dropped:0 overruns:0 frame:168043
          TX packets:486327 errors:2819 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:934301757 (891.0 MiB)  TX bytes:370383802 (353.2 MiB)
          Interrupt:80 Memory:c0420000-c0430000
 
Zuletzt bearbeitet:
Ja, das Interface wlan wird in der Eingabemaske des nhipt-cgi's angezeigt.

Die Ausgabe von ifconfig ergibt:
cpmac0 Link encap:Ethernet HWaddr 00:1C:4A:8C:7E:5B
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:512664 errors:0 dropped:0 overruns:0 frame:0
TX packets:255046 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:256950601 (245.0 MiB) TX bytes:239294956 (228.2 MiB)

dsl Link encap:point-to-Point Protocol
inet addr:--- --- P-t-P:--- --- Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:6739 errors:0 dropped:0 overruns:0 frame:0
TX packets:6718 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1100128 (1.0 MiB) TX bytes:721593 (704.6 KiB)

eth0 Link encap:Ethernet HWaddr 00:1C:4A:8C:7E:5B
inet addr:192.168.178.1 Bcast:192.168.178.255 Mask:255.255.255.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:102787 errors:0 dropped:0 overruns:0 frame:0
TX packets:13517 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:128
RX bytes:9194932 (8.7 MiB) TX bytes:2773367 (2.6 MiB)

eth0:0 Link encap:Ethernet HWaddr 00:1C:4A:8C:7E:5B
inet addr:--- --- Bcast:--- --- Mask:255.255.0.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:645 errors:0 dropped:0 overruns:0 frame:0
TX packets:645 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:53333 (52.0 KiB) TX bytes:53333 (52.0 KiB)

wan Link encap:Ethernet HWaddr 00:1C:4A:8C:7E:5B
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:409874 errors:0 dropped:0 overruns:0 frame:0
TX packets:88231 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:247755489 (236.2 MiB) TX bytes:7068962 (6.7 MiB)

wlan Link encap:Ethernet HWaddr 00:1C:4A:45:56:EF
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:2290 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:152 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:7624 (7.4 KiB)

Ich kann mit der Ausgabe
iptables: No chain/target/match by that name
Exit Code 0 - iptables -t filter -I INPUT 2 -i wlan -p tcp --dport 53 -j ACCEPT
nichts anfangen.
Hab keine Iptables-Erfahrung.

Ist es ein Syntax-Problem oder ein Software-Problem?
 
@sf3978: Ah, gut zu wissen. Nein, bei mir sind alle Computer im selben Netzwerk.

@Desertbum: die iptables-Fehlermeldungen sind wirklich nicht sehr hilfreich. Evtl. hast Du auch ein Modul nicht geladen (falls Du nicht replace kernel und autoload modules eingeschaltet hast)?

Code:
iptables -t filter -A INPUT -i wifi0 -p tcp --dport 53 -j ACCEPT

tut's bei mir ohne Probleme. Hier hab ich an Modulen:

Code:
ip_nat_ftp              3110  0                      
xt_tcpudp               2743  2                      
xt_state                1603  1                      
xt_mark                 1445  0                      
xt_MARK                 1910  0                      
iptable_nat             5837  1                      
iptable_filter          2158  1                      
ipt_iprange             1494  0                      
ipt_REJECT              3581  1                      
ipt_REDIRECT            1562  0                      
ipt_MASQUERADE          2579  0                      
ipt_LOG                 7037  0
ip_tables              11822  2 iptable_nat,iptable_filter
x_tables               13427  11 xt_tcpudp,xt_state,xt_mark,xt_MARK,iptable_nat,ipt_iprange,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,ipt_LOG,ip_tables
ip_nat                 15833  4 ip_nat_ftp,iptable_nat,ipt_REDIRECT,ipt_MASQUERADE
ip_conntrack_ftp        6519  1 ip_nat_ftp
ip_conntrack           46260  6 ip_nat_ftp,xt_state,iptable_nat,ipt_MASQUERADE,ip_nat,ip_conntrack_ftp
 
Zuletzt bearbeitet:
Wenn du 0 Plan von iptables hast, solltest du vllt. mal die im Wiki verlinkten Dokumentationen dazu lesen, denn sonst geht das schneller schief, als du ausprobieren kannst.

Aber gut, du wirst sicherlich ein recover zur Hand haben?
 
@sf3978
soweit ich weiß bezieht sich die Nummer 2 auf die zweite Zeile der Tabelle.
Die Regel soll so an zweiter Stelle eingefügt werden.


Vielleicht habe ich ein Lösung gefunden:

wenn ich
iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT
eingebe bekomme ich eine Fehlermeldung.

Wenn ich dagegen
iptables -I INPUT -i wlan -p tcp --dport 53,54 -j ACCEPT
eingebe wird das multiport Modul angezeigt und die Regel wird akzeptiert.
Wenn ich die Regel anschließend editiere und die Portnummer 54 wieder lösche dann erscheint die gewünschte Regel endlich im Cgi.

Testen tu ich erst morgen.
Bin hundemüde....

Gute Nacht

Desertbum
 
@sf3978
soweit ich weiß bezieht sich die Nummer 2 auf die zweite Zeile der Tabelle.
Die Regel soll so an zweiter Stelle eingefügt werden.
Ja, wenn es auch eine 1. Zeile der Tabelle (mit I=insert) gibt. (Sonst kommt bei mir, schon immer die Meldung: iptables: Index of insertion too big). Z. B.:
Code:
iptables -I INPUT [COLOR="Red"][B]1[/B][/COLOR] ....
Und diese habe ich bei dir nicht gesehen, deshalb der Hinweis.;)

wenn ich
iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT
eingebe bekomme ich eine Fehlermeldung.
[...]
Welche Fehlermeldung bekommst Du?
 
@Desertbum
--destination-port (= --dport) gehört zum multiport-Module (-m multiport). Siehe z.B. hier.
 
@Desertbum
--destination-port (= --dport) gehört zum multiport-Module (-m multiport). [...][/URL].
Bei mir gehört --dport nicht zum multiport-Modul. --dports gehört bei mir zum multiports-Modul. Mit --dport kann ich einzelne Ports adressieren.
 
Bei mir gehört --dport nicht zum multiport-Modul. --dports gehört bei mir zum multiports-Modul. Mit --dport kann ich einzelne Ports adressieren.
In der Tat... ich sollte früh morgens am Nikolaustag die Finger von iptables lassen :rolleyes:
 
Hallo, da bin ich wieder.

Meine oben gemachte Beobachtung scheint sich zu bewahrheiten:
Nur wenn ich erst mal mehrere Port Nummern angebe wird der Parameter --dport aktiviert:

So kalppts nicht (Fehlermeldung von nhipt):
iptables: No chain/target/match by that name
Exit Code 0 - iptables -t filter -A INPUT -i wlan -p tcp --dport 54 -j ACCEPT

So klappts:
iptables -t filter -R INPUT 4 -i wlan -p tcp -m multiport --dports 54,55 -j ACCEPT

Wenn ich jetzt nachträglich die Regel editiere und einen Port lösche dann habe ich die gewünschte Regel:
iptables -t filter -R INPUT 4 -i wlan -p tcp -m multiport --dports 54 -j ACCEPT

Kann nicht erklären warum das funktioniert. Anscheinend muß ich doch das Multiport-Modul aktivieren auch wenn ich nur einen Port angebe.
(Habe immer nur --dports).

Grüße

Desertbum
 
[...]
Wenn ich jetzt nachträglich die Regel editiere und einen Port lösche dann habe ich die gewünschte Regel:[...]
Wie gibst Du die Regeln ein bzw. wie editierst Du die Regeln? Mit Konsole und Texteditor?
 
Alles über nhipt-cgi.
Da gibt es ja auch die Möglichkeit eine Regel zu editieren.
 
Und wenn Du gleich, trotz "-m multiport" nur einen Port mit "--dports 54" eingibst, funktioniert es nicht?
Code:
iptables -t filter -A INPUT -i wlan -p tcp [COLOR="Red"]-m multiport[/COLOR] --dport[COLOR="#ff0000"]s[/COLOR] 54 -j ACCEPT
 
Das Multiport-Modul wird im Drop-Down-Menu nicht angezeigt.
(Module steht auf auto)
Für deine Eingabe bekomme ich dann die übliche Fehlermeldung:
iptables: No chain/target/match by that name
Exit Code 0 - iptables -t filter -A INPUT -i wlan -p tcp --dport 54 -j ACCEPT
Macht aber nichts wenn ich gleich mehrere Ports angebe wird das Muliport-Modul automatisch aktiviert (Muß dann halt nachträglich überflüssige Ports entfernen)

Funktioniert aber bestens auf diese weise :D

Grüße


Desertbum
 
Multiport wird automatisch an der Eingabe der Ports erkannt und bei Bedarf gesetzt wenn mehr als ein Port angegeben wird (automatik). Gleiches gilt für iprange. Da diese module häufig mit anderen Modulen zusammen verwendet werden und die Zeile nicht unnötig lang werden sollte, habe ich diese Erkennung eingebaut. Bei einzelnen Ports ist das multiport modul überflüssig. Dann wird das Standard-Modul xt_tcpudp verwendet.

Bei multiport sind das Komma [,] und Doppelpunkt [:]
Bei iprange ist das das [-] Zeichen


Übrigens:
Code:
[B]Exit Code 0[/B] - iptables -t filter -I INPUT 2 -i wlan -p tcp --dport 53 -j ACCEPT
bedeutet, Regel erfolgreich gesetzt. Exit Code 0 ist immer OK. Die Ausschrift dient zur Information, wie die Regel denn nun zusammengebaut wurde.
 
Zuletzt bearbeitet:
Was bedeutet das hier?
Code:
iptables: No chain/target/match by that name
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.