iptable module können nicht geladen werden mit freetz-trunk

[dreckbaer]

hab die 74.04.88 firm...
mal sehn wie es jetzt mit den iptables aussieht!

[waenger]

Boxtyp 7270_v2
AVM-Firmwareversion 05.05
Sprache de
Kernelversion 2.6.32.21 (gcc version 4.4.7 (GCC) )
Freetz-Version freetz-devel-8828

In der config wurde entsprechend das Modul iptable_nat ausgewählt, jedoch fehlt es dann unter
root@fritz:/lib/modules/2.6.32.21/kernel/net/ipv4/netfilter# ls
ip_tables.ko ipt_REJECT.ko iptable_mangle.ko
ipt_LOG.ko iptable_filter.ko iptable_raw.ko


Wenn ich das richtig sehe, muss ich replace_kernel nutzen, damit ich diese Module nutzen kann? Und die Version sollte diejenige sein, die ich noch benutzen kann.
Wie kann ich diese Version trotzdem dazu kriegen, das NAT Modul zu laden?

//Edit Vorerst nicht, da http://freetz.org/browser/trunk/make...Config.in#L283 hier die maximale Version des Kernels auf 2.6.19 beschränkt wird. Damit ist die letzte nutzbare Trunk Version die 7293. Somit kommt nur die 04.88 Firmware in Brtracht.

[sf3978]

Was meinst Du mit:

Und die Version sollte diejenige sein, die ich noch benutzen kann.

[waenger]

Revision 8828, http://freetz.org/changeset?old_path...WARES&new=8982

[shooter3406]

Hallo,

habe ich das jetzt richtig verstanden, dass über 04.88 mit iptables kein MASQUERADE bzw. nat geht?

[dreckbaer]

Hallo,

habe ich das jetzt richtig verstanden, dass über 04.88 mit iptables kein MASQUERADE bzw. nat geht?

100%ig kann ich Dir das nicht sagen ABER bei mir ging auch mit dem .04.88 kein MASQUERADE bzw. nat, es haben immer noch verschiedene Module gefehlt...
Wenn doch jemand einen Lösungsansatz (oder ein image mit MASQUERADE und pptp-Unterstüzung) findet wäre das toll!

[sf3978]

... ABER bei mir ging auch mit dem .04.88 kein MASQUERADE bzw. nat, es haben immer noch verschiedene Module gefehlt...

Die Formulierung im Beitrag #105 ist:

Code:

... dass _über_ 04.88 mit iptables kein MASQUERADE bzw. nat geht

Mit "über" ist das was nach der 88er Firmware kommt, gemeint. D. h., mit der 88er Firmware gibt es keine Probleme mit iptables (MASQUERADE, nat, etc.) bzw. es fehlen keine Module.

[dreckbaer]

Mit "über" ist das was nach der 88er Firmware kommt, gemeint. D. h., mit der 88er Firmware gibt es keine Probleme mit iptables (MASQUERADE, nat, etc.) bzw. es fehlen keine Module.

Bei mir kommt nichts dabei raus...min 10 image erstellt und keins hat iptables unterstüzt...liegt aber bestimmt eher an mir! wie auch immer, wenn jemand ein MASQUERADE fähiges image fur ne 7270v3 hat - ICH WÜRD MICH FREUEN!

[sf3978]

Bei mir kommt nichts dabei raus...min 10 image erstellt und keins hat iptables unterstüzt...

Welche Freetz revision(en) hast Du für die Erstellung der Images mit der 88er Firmware benutzt?

[dreckbaer]

Welche Freetz revision(en) hast Du für die Erstellung der Images mit der 88er Firmware benutzt?

die Freetz 1.2_rc2

[sf3978]

... 1.2_rc2

Die kenn ich nicht, aber ich kann dir sagen, dass es mit der trunk rev. 7293 einwandfrei funktioniert.

_Vorgehensweise_: trunk neu auschecken (svn co ...), _neue_ .config, Freetz-Image mit iptables (alle Module + alle libs) erstellen, Box recovern, Freetz-Image flashen, manuelle Einstellungen bzw. Konfiguration der Box über AVM-WEB-IF, Freetz-WEB-IF, telnet, etc..

[waenger]

Mit der 7270v2 54.05.21 und der aktuellen Trunk (9030) geht es nicht. Man kann zwar die entsprechenden Punkte anwählen (nat und conntrack), jedoch werden diese nicht integriert.

Da wir mittlerweile beim Kernelversion 2.6.32.41 sind, sollten doch die Module wieder funktionieren. Wenn ich jetzt die einzelnen Module verfügbar machen will, aktiviere ich dann mit
"make kernel-menuconfig" bei Networking Support->Networking Options->Network Packet Filtering Framework->Core Natfilter Configuration bzw. IP Netfilter Cofiguration alle notwendigen Module und rufe dann "make menuconfig" auf, erzeuge die restlichen Einstellungen für freetz und lasse dann kompilieren?

[RalfFriedl]

Du kannst sicher die Module erstellen, wenn die Quellen vorhanden sind.
Die Frage ist, ob die so erstellten Module und der Kernel mit den binären Modulen der AVM Firmware zusammen funktionieren oder nicht.

[waenger]

Da ich nicht direkt nach einem SVN Checkout ein 'kernel-makemenuconfig' machen kann, habe ich zuerst mit 'make menuconfig' eine Standardkonfiguration erstellt, danach den Kernel angepasst.
Folgende Kernel-Konfiguration cfg.txt erstellt und dann mit make menuconfig nochmal alles notwendige ausgewählt und kompiliert.

Code:

Starting inetd ... done.
modprobe: module ip_conntrack not found in modules.dep
modprobe: module ip_nat not found in modules.dep
modprobe: module ipt_MASQUERADE not found in modules.dep
modprobe: module ipt_iprange not found in modules.dep
sh: iptlogger: unknown operand
modprobe: module xt_conntrack not found in modules.dep
modprobe: module xt_state not found in modules.dep
iptables: No chain/target/match by that name.
starting log deamon
configuring nhipt gui ... /usr/ipt
iptables reconfigured

Code:

root@fritz:/lib/modules/2.6.32.41/kernel/net/netfilter# lsmod
Module                  Size  Used by    Tainted: P
fuse                   58613  2
sch_sfq                 5404  4
sch_llq                 8436  1
sch_tbf                 4290  1
xt_tcpudp               1886  5
iptable_nat             2703  1
nf_nat                 12195  1 iptable_nat
nf_conntrack_ipv4       8742  3 iptable_nat,nf_nat
nf_defrag_ipv4           756  1 nf_conntrack_ipv4
nf_conntrack           47421  3 iptable_nat,nf_nat,nf_conntrack_ipv4
ipt_REJECT              2088  0
iptable_filter           899  1
ip_tables              10602  2 iptable_nat,iptable_filter
x_tables               11509  4 xt_tcpudp,iptable_nat,ipt_REJECT,ip_tables
wlan_scan_ap            7537  1
wlan_acl                3184  2
wlan_wep                4375  0
wlan_tkip               9408  0
wlan_ccmp               6137  5
wlan_xauth               601  0
ath_pci               149400  0
ath_spectral           93193  1 ath_pci
ath_rate_atheros       59649  1 ath_pci
wlan                  220606  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
ath_dfs                40072  3 wlan_scan_ap,ath_pci,wlan
ath_hal               299091  5 ath_pci,ath_spectral,ath_rate_atheros,ath_dfs
avm_ath_extensions     41416  6 wlan_scan_ap,ath_pci,ath_rate_atheros,wlan,ath_dfs,ath_hal
userman_mod            58805  0
kdsldmod             1083566  5 userman_mod
vfat                    8586  1
fat                    50680  1 vfat
dsl_ur8               191113  2
ramzswap               18434  1
lzo_compress            1898  1 ramzswap
lzo_decompress          2031  1 ramzswap
dect_io                11547  2
avm_dect              239617  1 dect_io
capi_codec            417508  0
isdn_fbox_fon5        792793  6
pcmlink               380282  3 avm_dect,capi_codec,isdn_fbox_fon5
loop                   13767  2
Piglet_noemif          48115  0
rtc_avm                 5237  1 pcmlink
rtc_core               15336  1 rtc_avm
led_modul_Fritz_Box_7270_16    73611  6

Dieser Auszug stammt aus der mod.log. Was habe ich vergessen bzw. ist das das von dir angesprochene Verhalten?

[JohnDoe42]

Hallo,

schau mal hier. Wähle die von Dir benötigten Module im kernel-menuconfig aus (conntrack nicht vergessen) und schau beim Kompilieren, ob sie im Image landen. Wichtige Module sind xt-state, xt-iprange und xt-multiport. Wenn insbesondere xt-state nicht im Image landet, versuch 's händisch in make/iptables/standard-modules.in bzw. config.in dazu zu klinken.
Teste im Anschluß bitte zuerst, ob die Box mit diesem Image a) einwandfrei bootet und 2) sich alle Deine Regeln laden lassen.
Bei mir (7270v3) hat es so funktioniert.
Grüße,

JD.

[waenger]

Die drei wichtigen Module landen in der Firmware. Masquerade funktioniert jedoch nicht.

Code:

modprobe: module ip_conntrack not found in modules.dep
modprobe: module ip_nat not found in modules.dep
sh: iptlogger: unknown operand
modprobe: module ipt_iprange not found in modules.dep

Brauche ich eigentlich die ip_* Module? Die werden doch eigentlich von den nf_* abgelöst. (ip_ für userspace, nf für kernel replace?) Oder brauche ich diese Module, damit ich mit 'iptables' die entsprechenden Schalter setzen kann, sodass diese von netfilter umgesetzt werden können? Ich steh etwas auf dem Schlauch.

a) Die Box bootet "einwandfrei", bis auf den Part oben.
b) Die Regeln lassen sich einwandfrei laden.

[JohnDoe42]

Wie ich bereits schrieb: Falls der Kernel der 7270v2 neuer als 2.6.19 ist, benötigst Du vermutlich xt_state, xt_iprange usw.
Hast Du denn MASQUERADE im kernel-menuconfig ausgewählt ?
Was passiert denn, wenn Du diese Module in /make/iptables/standard-modules.in bzw. config.in händisch (durch einkommentieren) auswählst ?
Ich brauchte ebenfalls noch nf_conntrack bzw. nf_conntrack_ipv4, ebenfalls im kernel-menuconfig auszuwählen.
Grüße,

JD.

EDIT: Hab' 's g'rade erst gesehen: nf_conntrack und nf_conntrack_ipv4 befinden sich ja schon in Deinem Image/auf Deiner Box, der Teil ist also schon mal erledigt.

[waenger]

Jetzt funktioniert es einwandfrei. Selbst Masquerade. Ich habe in der config.in die entsprechenden Abhängigkeiten soweit verändert, dass die Warnung bei 'make menuconfig' entfällt. Dann meckert er auch nicht mehr wg. den falschen Modulen. Zudem ist mir aufgefallen, das nhipt die "falschen" Standardmodule will.

[JohnDoe42]

Okay, läuft denn dieBox soweit stabil ?
Falls ja: Benutzt Du mehr oder minder viele verbundene WLAN-Geräte an der Box ? Falls ja: Könntest Du auf mehrfache Reboots der Box in nächster Zeit achten und dann ggfs. wieder berichten ?
Grüße,

JD.

[waenger]

Bisher stabil, gestern von der Box knapp 1GB laden lassen sowie jetzt grade von einem Wlan-Clienten 700MB. Da die DSL-Leitung aber nur als Backup/VoIP dient, wird kaum Traffic zustande kommen. Die iptables arbeiten zudem nur für ein VPN und darüber geht lediglich eine Fallback-SSH Leitung.
Bis auf mein Handy ist kein anderes Gerät per WLAN angebunden.
Ich werde mal auf Reboots achten. Wenn ich ein wenig Zeit finde, werde ich iptables im lokalen Netzwerk einsetzen.

//Edit Habe jetzt von einer vm Daten über die Fritzbox per OpenVPN auf den VM-Host kopiert.
VM <-(OpenVPN) -> Fritzbox <- LAN ->VM-Host Durchschnittlich 500KB/s, Größe 922 MB. Masquerade von der Fritzbox ins VPN über tun Device. Kein Reboot,fehlerhafte Übertragung oder sonstige Auffälligkeiten.