iptables auf 7390

DG279

Mitglied
Mitglied seit
17 Feb 2006
Beiträge
357
Punkte für Reaktionen
0
Punkte
0
[edit olistudent: aus anderem Thema abgetrennt]

Also, keine Beschwerde sondern Lob! Vielen Dank für die ganze Arbeit die ihr hier leistet. Habe für meine 7390 über den Trunk compiliert und bis auf ip-tables kann ich alle Module starten.

Logdatei:
modprobe: module ip_tables not found in modules.dep
modprobe: module iptable_filter not found in modules.dep
modprobe: module x_tables not found in modules.dep
modprobe: module ip_conntrack not found in modules.dep
modprobe: module ip_conntrack_ftp not found in modules.dep
modprobe: module ipt_LOG not found in modules.dep
modprobe: module ipt_REJECT not found in modules.dep
modprobe: module xt_multiport not found in modules.dep
modprobe: module xt_state not found in modules.dep
iptables reconfigured

Nochmals Danke.
 
Zuletzt bearbeitet von einem Moderator:
Wo bekommst du denn die Fehler? Problem ist, dass diese Module für die 7390 nicht existieren, da die Optionen fest im Kernel sind.

Gruß
Oliver
 
Unter Dienste wird iptables als stopped geführt. Wenn ich mit start aufrufe, kommt zwar die Meldung "Loading modules ... Loading table list ..." aber der Dienst wird weiterhin als stopped geführt. Unter iptables rules steht ebenfalls "NOTE: iptables is not running!". In make menueconfig wurde iptables und sämtliche module ausgewählt.

Ich such mal weiter im Forum und lerne weiteres über Linux und den Trunk :)
 
Und welches Paket hast du gewählt? nhipt oder iptables-cgi?

Gruß
Oliver
 
Ich habe beide ausgewählt. Ist das der Fehler?
 
Nein. Das Problem ist, dass für die 7390 diese Module nicht gebaut werden, da der Code fest im Kernel ist. Wobei man nicht nhipt und iptables-cgi benötigt.

Gruß
Oliver
 
Danke für die Info. Ich werd mal "ohne" weitermachen.
 
iptables ist kein Dienst im engeren Sinne, es sind Funktionen, die im Kernel laufen. Das Paket "iptables" (ohne cgi) enthält nur das Programm, mit dem die Regeln bearbeitet werden, und keinen Eintrag unter Dienste, von diesem kann die Meldung also nicht kommen, der Eintrag und die Meldung kommt vom Paket "iptables-cgi". Da es bei iptables keine laufendes Programm gibt, wird bei Status überprüft, ob die iptables Module geladen sind. Das ist allenfalls ein Indiz dafür, ob iptables aktiv ist. Es kann sowohl sein, daß Module geladen sind, aber keine Regeln gesetzt wurden. In diesem Fall würde 'running' angezeigt werden, obwohl nichts passiert. Hier in diesem Fall ist iptables fest im Kernel, daher gibt es keine Module. Trotzdem wurden die Regeln vermutlich geladen und sind aktiv, obwohl als Status 'stopped' ausgegeben wird.

Die Bemerkung von Oliver oben sollte bedeuten, daß man nicht nhipt und iptables-cgi gleichzeitig benötigt. Man kann auch beide weglassen und sich selbst darum kümmern, daß die Regeln geladen werden, aber ich haben nicht den Eindruck, daß Du das vor hast.
 
Gibt es eine Alternative zu lsmod | grep ? Vielleicht /proc/kallsyms durchsuchen? Dauert natürlich etwas länger...
Oder könnte man auf irgendwelche Dateien in /proc checken?

Gruß
Oliver
 
Beim Start "touch /var/run/iptables", beim Stop "rm -f /var/run/iptables" und bei der Status-Abfrage nach der Datei schauen. Nur weil die Funktionen da sind, ob aus Modulen oder fest im Kernel, bedeutet nicht, daß auch Regeln aktiv sind. Speziell würde bei Abwandlung der jetzigen Logik beim Start festgestellt, daß die Funktionen schon da sind und als Folge die Regeln nicht geladen. Dann lieber die Regeln geladen und eine falsche Status-Anzeige.
 
Die Aussage verstehe ich jetzt nicht. Wenn wir auf /var/run/iptables prüfen, dann ist das doch nur vorhanden, wenn die Regeln korrekt geladen sind?
Die Anzeige des Status im Webinterface ist doch unabhängig vom Laden der Regeln beim Start. Nur die Auswahl der Buttons ändert sich...

Gruß
Oliver
 
Start lädt die Regeln (vorher ggf. die Module) und erstellt die Datei. Damit ist iptables gestartet.
Stop entfernt die Regeln (und ggf. die Module) und löscht die Datei. Damit ist iptables gestoppt.
Entscheidend ist, ob die Regeln aktiv sind oder nicht. Wenn nur die Module geladen sind, aber keine Regeln, dann hat sich nichts geändert, außer daß etwas Speicher im Kernel unnütz verbraucht wird. Die jetzige Prüfung auf die Module erfolgt nicht deswegen, weil es um die Module geht, sondern weil dies einfach möglich ist. Die Prüfung auf die Datei ist natürlich auch nicht elegant, funktioniert aber auch, wenn die Module im Kernel sind.

Wie sieht es denn aus mit iptables-cgi und nhipt, sollen die beide weiterhin verfügbar bleiben, oder wollen wir uns auf eines davon festlegen?

Eine andere Frage in diesem Zusammenhang, wenn AVM iptables schon fest im Kernel integriert, werden dann von der Firmware auch Regeln geladen, oder sind die Funktionen nur unnütz im Kernel drin?
 
@Ralf: Die Bemerkung von Oliver oben sollte bedeuten, daß man nicht nhipt und iptables-cgi gleichzeitig benötigt. Man kann auch beide weglassen und sich selbst darum kümmern, daß die Regeln geladen werden, aber ich haben nicht den Eindruck, daß Du das vor hast.

Habe nhipt ausgewählt und iptables cgi weggelassen. Wg. Regeln selbst laden muss ich mich noch etwas schlauer machen. :rolleyes:
 
nhipt hat übrigens auch einen interessanten Ansatz: Es wird grundsätzlich gestartet, zeigt als Status immer 'running' und macht bei stop nichts.
 
. . . und bei den LOG DEAMON SETTINGS kann man zwar Veränderungen vornehmen, aber nach "Übernehmen" ist wieder alles beim alten.
 
Wie sieht es denn aus mit iptables-cgi und nhipt, sollen die beide weiterhin verfügbar bleiben, oder wollen wir uns auf eines davon festlegen?
nhipt ist das "neuere" und "mächtigere" Paket. Leider hat cando es nicht nach meinen Hinweisen programmiert, so dass ich schon öfter kurz davor war es wieder zu entfernen. Du kannst dir den Code ja mal anschauen. Hier und da ein Hack und der Code ist schlecht lesbar. Es nutzt teilweise die debug.cfg und der gesamte Startvorgang ist mir ein Rätsel... :-Ö

Gruß
Oliver
 
Sorry, irgenwie geht man immer davon aus, dass ihr alle Boxen und alle Programme vor Ort habt bzw. auswendig kennt, was logischer Weise nicht sein kann.

Also, es sind die Einstellungen für die Logs. Ob im Syslog oder eigenes Verzeichnis im nhipt.

LOG DEAMON SETTINGS
Use deamon : O syslog O internal
Status : * O running O stopped
Log directory : /var/media/ftp/
 
@olistudent
Was heißt "mächtiger"? Kann es etwas, was das andere nicht kann? Auf meiner Box läuft kein iptables.
Auf meiner auch nicht. Ich ging einfach davon aus, da cando ja sonst keine Motivation für nhipt gehabt hätte.

Gruß
Oliver
 
Ich habe mir mal beide Programme auf die Box getan.
Ein wesentlicher Unterschied ist, daß ich es mit NHIPT geschafft habe, Regeln anzulegen.
Mit dem iptables-cgi bekomme ich vorhandene Reglen angezeigt, aber wenn ich versuche, eine neue anzulegen, erscheint
Code:
iptables is [COLOR="Red"]already running[/COLOR].
Warum ich keine neue Regel anlegen soll, wenn iptables schon läuft, ist mir nicht klar. Funktioniert iptables-cgi bei jemandem?

Ansonsten kann man die Regeln genauso gut in rc.custom laden. Ein Manual zu iptables braucht man auch mit dem Web-Interface, da kann man die Regeln schneller als freien Text eingeben.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.