.titleBar { margin-bottom: 5px!important; }

7270 mit Trunk - iptables-Module weg ... ?

Dieses Thema im Forum "Freetz" wurde erstellt von JohnDoe42, 20 Okt. 2011.

  1. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hallo zusammen,

    nachdem ich nun einige Zeit erfolglos herumprobiert habe, möchte ich Euch um Hilfe bitten.
    Ich hab' mir für meine 7270v3 ein Image mit dem aktuellen Trunk (r7881), u.A. mit iptables kompiliert.
    Nachdem ich nach dem laden meiner Standard-Regeln keinen Internet-Zugriff mehr hatte, hab' ich mir die Meldungen mal genauer angeschaut und siehe da - einige Regeln werden mit "iptables: No chain/target/match by that name.". Und hier vermute ich die Ursache in einigen Modulen, die nicht geladen werden .. u.A ipt_state. Hier mal eine Liste aller geladenen Module:
    Code:
    FREETZ_MODULE_nf_conntrack=y
    FREETZ_MODULE_nf_conntrack_ftp=y
    FREETZ_MODULE_nf_conntrack_h323=y
    FREETZ_MODULE_nf_conntrack_irc=y
    FREETZ_MODULE_nf_conntrack_ipv4=y
    FREETZ_MODULE_nf_conntrack_pptp=y
    FREETZ_MODULE_nf_conntrack_proto_gre=y
    FREETZ_MODULE_nf_conntrack_tftp=y
    FREETZ_MODULE_nf_defrag_ipv4=y
    FREETZ_MODULE_nf_nat=y
    FREETZ_MODULE_nf_nat_ftp=y
    FREETZ_MODULE_nf_nat_tftp=y
    FREETZ_MODULE_iptable_filter=y
    FREETZ_MODULE_iptable_mangle=y
    FREETZ_MODULE_iptable_nat=y
    FREETZ_MODULE_iptable_raw=y
    FREETZ_MODULE_ip_tables=y
    FREETZ_MODULE_ipt_LOG=y
    FREETZ_MODULE_ipt_REJECT=y
    FREETZ_MODULE_ipt_ttl=y
    FREETZ_MODULE_ipt_TTL=y
    FREETZ_MODULE_x_tables=y
    FREETZ_MODULE_xt_CLASSIFY=y
    FREETZ_MODULE_xt_comment=y
    FREETZ_MODULE_xt_esp=y
    FREETZ_MODULE_xt_length=y
    FREETZ_MODULE_xt_limit=y
    FREETZ_MODULE_xt_mac=y
    FREETZ_MODULE_xt_multiport=y
    FREETZ_MODULE_xt_mark=y
    FREETZ_MODULE_xt_MARK=y
    FREETZ_MODULE_xt_NFQUEUE=y
    FREETZ_MODULE_xt_iprange=y
    FREETZ_MODULE_xt_pkttype=y
    FREETZ_MODULE_xt_physdev=y
    FREETZ_MODULE_xt_quota=y
    FREETZ_MODULE_xt_realm=y
    FREETZ_MODULE_xt_statistic=y
    FREETZ_MODULE_xt_string=y
    FREETZ_MODULE_xt_tcpudp=y
    FREETZ_MODULE_xt_tcpmss=y
    FREETZ_MODULE_ip6_queue=y
    FREETZ_MODULE_ip6_tables=y
    FREETZ_MODULE_ip6table_filter=y
    FREETZ_MODULE_ip6table_raw=y
    FREETZ_MODULE_ip6t_ah=y
    FREETZ_MODULE_ip6t_eui64=y
    FREETZ_MODULE_ip6t_frag=y
    FREETZ_MODULE_ip6t_hbh=y
    FREETZ_MODULE_ip6t_hl=y
    FREETZ_MODULE_ip6t_ipv6header=y
    FREETZ_MODULE_ip6t_LOG=y
    FREETZ_MODULE_ip6t_REJECT=y
    FREETZ_MODULE_ip6t_rt=y
    FREETZ_MODULE_ip6table_mangle=y
    
    Hat jemand eine Idee, wo die für mich relevanten Module hin sind ? Im menuconfig hab' ich alle zur Verfügung stehende Module ausgewählt ...
    Grüße,

    JD.
     
  2. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hat jemand eine Idee, welches die für Dich relevanten Module sind? Welche Regeln können denn nicht geladen werden?
     
  3. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #3 JohnDoe42, 21 Okt. 2011
    Zuletzt bearbeitet: 21 Okt. 2011
    Wie ich oben bereits schrieb: U.A. ipt_state.
    Auf meiner 7170, auf welcher alle Regeln korrekt abgearbeitet werden, ergibt der für iptables relevante Modulteil von lsmod dieses:
    Code:
    ipt_REDIRECT            1536  0 
    ipt_MASQUERADE          2496  0 
    ipt_iprange             1600  4 
    ipt_multiport           2176  25 
    ipt_mac                 1504  0 
    ipt_state               1312  4 
    ipt_LOG                 7328  4 
    ip_conntrack_ftp       71552  0 
    iptable_filter          2112  1 
    iptable_nat            22096  2 ipt_REDIRECT,ipt_MASQUERADE
    ip_conntrack           42288  4 ipt_MASQUERADE,ipt_state,ip_conntrack_ftp,iptable_nat
    ip_tables              21088  9 ipt_REDIRECT,ipt_MASQUERADE,ipt_iprange,ipt_multiport,ipt_mac,ipt_state,ipt_LOG,iptable_filter,iptable_nat
    
    In Relation zu der in Rede stehenden 7270 fehlen da ein paar ... (?)
    Fehl schlägt u.A. sowas:
    Code:
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A INPUT -p tcp --dport 5060 -j ACCEPT
    
    Grüße,

    JD.

    EDIT: Nachdem ich den aktuellen stable-1.2-branch und den trunk mal verglichen hab' ergibt sich, daß exakt die Module, die mir im Trunk-Image fehlen (ipt_range, ipt_nat) und auch im trunk-menu nicht auftauchen, im stable-branch vorhanden sind ... hat da jemand 'nen Tip für mich (außer ein stable-image zu erstellen) ?
     
  4. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Stable-Image erstellen klappt auch nicht:
    Code:
    lzma2eva.c:(.text+0xc9): undefined reference to `crc32'
    lzma2eva.c:(.text+0x509): undefined reference to `crc32'
    collect2: ld gab 1 als Ende-Status zurück
    make[1]: *** [lzma2eva] Fehler 1
    make: *** [/home/******/freetz-stable-1.2/source/host-tools/lzma2eva/lzma2eva] Fehler 2
    
     
  5. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #5 JohnDoe42, 2 Nov. 2011
    Zuletzt bearbeitet: 2 Nov. 2011
    Hallo zusammen,

    hier mal der Fehlermeldungen zu evtl. abwesenden Modulen:
    Code:
    + iptables -A TRANS -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables: No chain/target/match by that name.
    + iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables: No chain/target/match by that name.
    + iptables -A INPUT -p tcp -m iprange --src-range x.x.x.x-y.y.y.y -m multiport --dport 80,81,443 -j ACCEPT
    iptables: No chain/target/match by that name.
    + iptables -A INPUT -p tcp -m iprange --src-range x.x.x.x-y.y.y.y -m multiport --dport 80,81,443 -j ACCEPT
    iptables: No chain/target/match by that name.
    + iptables -A INPUT -p tcp -m iprange --src-range x.x.x.x-y.y.y.y -m multiport --dport 80,81,443 -j ACCEPT
    iptables: No chain/target/match by that name.
    + iptables -A INPUT -p tcp -m iprange --src-range x.x.x.x -m multiport --dport 80,81,443 -j ACCEPT
    iptables: No chain/target/match by that name.
    + iptables -A INPUT -p tcp -m state --state NEW --dport 21 -j ACCEPT
    iptables: No chain/target/match by that name.
    + iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables: No chain/target/match by that name.
    
    Für mich sieht das so aus, als ob da immer irgendwas hakt, wenn "-m state" und/oder "-m iprange" auftaucht. Nach meinem Kenntnisstand gibt es doch Module names ipt_iprange und ipt_state ...
    Bloß scheinen die hier nicht mehr anwesend zu sein ... (?)
    Hier mal die Ausgabe von lsmod:
    Code:
    Module                  Size  Used by    Tainted: P  
    xt_tcpudp               2083  0 
    xt_multiport            2226  0 
    xt_MARK                  687  0 
    xt_mark                  687  0 
    xt_mac                   764  0 
    ipt_REJECT              2095  0 
    ipt_LOG                 6284  0 
    iptable_filter          1286  0 
    ip_tables              11516  1 iptable_filter
    x_tables               14590  8 xt_tcpudp,xt_multiport,xt_MARK,xt_mark,xt_mac,ipt_REJECT,ipt_LOG,ip_tables
    wlan_scan_ap            7759  1 
    wlan_acl                3439  1 
    wlan_wep                4327  0 
    wlan_tkip               9430  1 
    wlan_ccmp               6055  0 
    wlan_xauth               601  0 
    ath_pci               146970  0 
    ath_spectral           93447  1 ath_pci
    ath_rate_atheros       59408  1 ath_pci
    wlan                  216988  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
    ath_dfs                39661  3 wlan_scan_ap,ath_pci,wlan
    ath_hal               301176  5 ath_pci,ath_spectral,ath_rate_atheros,ath_dfs
    avm_ath_extensions     41284  6 wlan_scan_ap,ath_pci,ath_rate_atheros,wlan,ath_dfs,ath_hal
    kdsldmod             1015222  4 
    dsl_ur8               183779  0 
    ramzswap               17338  1 
    lzo_compress            1882  1 ramzswap
    lzo_decompress          2047  1 ramzswap
    dect_io                11542  0 
    avm_dect              235989  1 dect_io
    capi_codec            411701  0 
    isdn_fbox_fon5        762808  5 
    pcmlink               336297  3 avm_dect,capi_codec,isdn_fbox_fon5
    loop                   13569  2 
    jffs2                 104350  1 
    Piglet_noemif          42466  0 
    led_modul_Fritz_Box_7270plus    62648  2 
    
    Für eine 7170 sind bei der Auswahl der iptables-Module u.A. diese beiden (ipt_iprange und ipt_state) per default ausgewählt, für eine 7270v3 nicht ...
    Weiß da jemand weiter .. ?
    Grüße,

    JD.
     
  6. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hallo zusammen,

    könnte mir nicht irgendjemand verraten, wohin die beiden betreffenden Module (ipt_iprange, ipt_state) auf der Box müssen ? Dann kompiliere ich diese selbst und versuche, sie auf der 7270 zum Laufen zu bekommen.
    Grüße,

    JD.
     
  7. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Du kannst die Module einfach so auf die Box bringen und laden. Wenn das funktioniert, kannst Du Dir immer noch Gedanken über den passenden Platz dafür machen.
     
  8. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Nach Studium von diesem hier ist es wohl so, das ab Kernel 2.6.19.2 ipt_state fehlt, ab Kernel 2.6.28 dann auch ipt_iprange. Warum ?

    Wo finde ich denn diese beiden Module, im Idealfall als Binary ?
    Falls nicht (als Binary): Was brauch' ich (außer cc) zum kompilieren ?
     
  9. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Weiß ich auch nicht, vermutlich gab es Probleme damit, vielleicht wurde es auch nur vergessen. Du kannst man in der SVN-Historie schauen, ob es schon mal drin war, wenn ja steht vielleicht auch dabei, warum es entfernt wurde.

    Das klang auch schon mal anders:
    Das Compilieren ist übrigens nicht weiter schwierig, wenn die Module in der Kernel-Config ausgewählt sind, werden sie auch erstellt.
     
  10. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hier steht, so wie ich es verstehe, in der Sache auch bloß drin, daß ipt_state ab Kernel 2.16.19.2 nicht mehr verfügbar ist.
    Wäre evtl. Replace Kernel für mich eine Option ?

    Okay, ich werde zunächst das heute abend mal probieren und dann wieder berichten.
     
  11. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,923
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Vermutlich ist es dann "xt_state" , das wäre wohl "CONFIG_NETFILTER_XT_MATCH_STATE" ...
     
  12. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Hallo Jörg,

    aber xt_state hatte ich doch im menuconfig (nebst allen anderen verfügbaren) deutlich ausgewählt ... (!?)
    Deshalb wundert(e) mich auch, wieso es in meiner .config in Post #1 nicht auftaucht ...
    Grüße,

    JD.
     
  13. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #13 JohnDoe42, 3 Nov. 2011
    Zuletzt bearbeitet: 3 Nov. 2011
    Hallo Jörg,
    Du hattest Recht: Unter source/kernel/ref-ur8-16mb-7270_05.05/lib/modules/2.6.32.21/kernel/net/netfilter gibt es eine xt_iprange.ko. Eine xt_state hingegen existiert nur als Source. Was müßte ich tun, um diese (ggfs. via make kernel-menuconfig)
    zu kompilieren ? Und wie wahrscheinlich ist, daß 1. nach dem Registrieren dieses Moduls meine Box noch bootet und 2. dieses Modul tut, was eigentlich ipt_iprange tun sollte ?
    Grüße,

    JD.
     
  14. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Okay, kleines Update:
    Das Modul xt_iprange befindet sich bei einem geflashten Trunk-Image tatsächlich auf der Box, wird nur leider nicht per default geladen. Ein
    Code:
    modprobe xt_iprange
    
    in der rc.costum tut dies. Nun sind bloß noch die Fehlermeldungen bzgl. des fehlenden xt_state übrig.
    Kurioserweise existiert dieses Modul in der Build-Umgebung des stable-1.2-branches und wird auch per default kompiliert. Warum ist dies im Trunk nicht der Fall ?
    Sollte ich einfach dieses Modul aus dem stable-1.2-branch auf die Box bringen und testen ?
    Grüße,

    JD.
     
  15. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Wahrscheinlich weil die Kernelversionen unterschiedlich sind?
     
  16. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Aber wieso kann man denn dann nicht die Source, die doch im Trunk schon vorhanden ist, schlicht und ergreifend mit übersetzen und/oder im menuconfig hierzu anbieten ?
    Grüße,

    JD.
     
  17. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Weil es von conntrack abhängt?
     
  18. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Soweit ich weiß, sollte doch die conntrack-Problematik ab der 7270 keine mehr sein ?
     
  19. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Gibt es dazu schon definitive Rückmeldungen?
     
  20. JohnDoe42

    JohnDoe42 Aktives Mitglied

    Registriert seit:
    17 März 2009
    Beiträge:
    1,403
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ich zitiere nochmal das wiki:
    [...]
    die älteren Modelle (vor der 7270) hatten auf Grund des alten Kernels und der beschränkten HW Probleme mit conntrack (Überläufe der Tracking - Tabellen und daraus resultierende Reboots der Box)

    Die 7270 hat mehr Arbeitsspeicher und einen neueren Kernel, und damit keine Probleme mehr mit mit conntrack (connection tracking Modul, benötigt um stateful Firewall Regeln z.B. für ftp, VoIP etc. zu erstellen).

    Und wozu sollte denn der Trunk da sein, um dieses mal zu testen ?
    Grüße,

    JD.