7270 mit Trunk - iptables-Module weg ... ?

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Hallo zusammen,

nachdem ich nun einige Zeit erfolglos herumprobiert habe, möchte ich Euch um Hilfe bitten.
Ich hab' mir für meine 7270v3 ein Image mit dem aktuellen Trunk (r7881), u.A. mit iptables kompiliert.
Nachdem ich nach dem laden meiner Standard-Regeln keinen Internet-Zugriff mehr hatte, hab' ich mir die Meldungen mal genauer angeschaut und siehe da - einige Regeln werden mit "iptables: No chain/target/match by that name.". Und hier vermute ich die Ursache in einigen Modulen, die nicht geladen werden .. u.A ipt_state. Hier mal eine Liste aller geladenen Module:
Code:
FREETZ_MODULE_nf_conntrack=y
FREETZ_MODULE_nf_conntrack_ftp=y
FREETZ_MODULE_nf_conntrack_h323=y
FREETZ_MODULE_nf_conntrack_irc=y
FREETZ_MODULE_nf_conntrack_ipv4=y
FREETZ_MODULE_nf_conntrack_pptp=y
FREETZ_MODULE_nf_conntrack_proto_gre=y
FREETZ_MODULE_nf_conntrack_tftp=y
FREETZ_MODULE_nf_defrag_ipv4=y
FREETZ_MODULE_nf_nat=y
FREETZ_MODULE_nf_nat_ftp=y
FREETZ_MODULE_nf_nat_tftp=y
FREETZ_MODULE_iptable_filter=y
FREETZ_MODULE_iptable_mangle=y
FREETZ_MODULE_iptable_nat=y
FREETZ_MODULE_iptable_raw=y
FREETZ_MODULE_ip_tables=y
FREETZ_MODULE_ipt_LOG=y
FREETZ_MODULE_ipt_REJECT=y
FREETZ_MODULE_ipt_ttl=y
FREETZ_MODULE_ipt_TTL=y
FREETZ_MODULE_x_tables=y
FREETZ_MODULE_xt_CLASSIFY=y
FREETZ_MODULE_xt_comment=y
FREETZ_MODULE_xt_esp=y
FREETZ_MODULE_xt_length=y
FREETZ_MODULE_xt_limit=y
FREETZ_MODULE_xt_mac=y
FREETZ_MODULE_xt_multiport=y
FREETZ_MODULE_xt_mark=y
FREETZ_MODULE_xt_MARK=y
FREETZ_MODULE_xt_NFQUEUE=y
FREETZ_MODULE_xt_iprange=y
FREETZ_MODULE_xt_pkttype=y
FREETZ_MODULE_xt_physdev=y
FREETZ_MODULE_xt_quota=y
FREETZ_MODULE_xt_realm=y
FREETZ_MODULE_xt_statistic=y
FREETZ_MODULE_xt_string=y
FREETZ_MODULE_xt_tcpudp=y
FREETZ_MODULE_xt_tcpmss=y
FREETZ_MODULE_ip6_queue=y
FREETZ_MODULE_ip6_tables=y
FREETZ_MODULE_ip6table_filter=y
FREETZ_MODULE_ip6table_raw=y
FREETZ_MODULE_ip6t_ah=y
FREETZ_MODULE_ip6t_eui64=y
FREETZ_MODULE_ip6t_frag=y
FREETZ_MODULE_ip6t_hbh=y
FREETZ_MODULE_ip6t_hl=y
FREETZ_MODULE_ip6t_ipv6header=y
FREETZ_MODULE_ip6t_LOG=y
FREETZ_MODULE_ip6t_REJECT=y
FREETZ_MODULE_ip6t_rt=y
FREETZ_MODULE_ip6table_mangle=y
Hat jemand eine Idee, wo die für mich relevanten Module hin sind ? Im menuconfig hab' ich alle zur Verfügung stehende Module ausgewählt ...
Grüße,

JD.
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Wie ich oben bereits schrieb: U.A. ipt_state.
Auf meiner 7170, auf welcher alle Regeln korrekt abgearbeitet werden, ergibt der für iptables relevante Modulteil von lsmod dieses:
Code:
ipt_REDIRECT            1536  0 
ipt_MASQUERADE          2496  0 
ipt_iprange             1600  4 
ipt_multiport           2176  25 
ipt_mac                 1504  0 
ipt_state               1312  4 
ipt_LOG                 7328  4 
ip_conntrack_ftp       71552  0 
iptable_filter          2112  1 
iptable_nat            22096  2 ipt_REDIRECT,ipt_MASQUERADE
ip_conntrack           42288  4 ipt_MASQUERADE,ipt_state,ip_conntrack_ftp,iptable_nat
ip_tables              21088  9 ipt_REDIRECT,ipt_MASQUERADE,ipt_iprange,ipt_multiport,ipt_mac,ipt_state,ipt_LOG,iptable_filter,iptable_nat
In Relation zu der in Rede stehenden 7270 fehlen da ein paar ... (?)
Fehl schlägt u.A. sowas:
Code:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 5060 -j ACCEPT
Grüße,

JD.

EDIT: Nachdem ich den aktuellen stable-1.2-branch und den trunk mal verglichen hab' ergibt sich, daß exakt die Module, die mir im Trunk-Image fehlen (ipt_range, ipt_nat) und auch im trunk-menu nicht auftauchen, im stable-branch vorhanden sind ... hat da jemand 'nen Tip für mich (außer ein stable-image zu erstellen) ?
 
Zuletzt bearbeitet:

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Stable-Image erstellen klappt auch nicht:
Code:
lzma2eva.c:(.text+0xc9): undefined reference to `crc32'
lzma2eva.c:(.text+0x509): undefined reference to `crc32'
collect2: ld gab 1 als Ende-Status zurück
make[1]: *** [lzma2eva] Fehler 1
make: *** [/home/******/freetz-stable-1.2/source/host-tools/lzma2eva/lzma2eva] Fehler 2
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Hallo zusammen,

hier mal der Fehlermeldungen zu evtl. abwesenden Modulen:
Code:
+ iptables -A TRANS -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.
+ iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.
+ iptables -A INPUT -p tcp -m iprange --src-range x.x.x.x-y.y.y.y -m multiport --dport 80,81,443 -j ACCEPT
iptables: No chain/target/match by that name.
+ iptables -A INPUT -p tcp -m iprange --src-range x.x.x.x-y.y.y.y -m multiport --dport 80,81,443 -j ACCEPT
iptables: No chain/target/match by that name.
+ iptables -A INPUT -p tcp -m iprange --src-range x.x.x.x-y.y.y.y -m multiport --dport 80,81,443 -j ACCEPT
iptables: No chain/target/match by that name.
+ iptables -A INPUT -p tcp -m iprange --src-range x.x.x.x -m multiport --dport 80,81,443 -j ACCEPT
iptables: No chain/target/match by that name.
+ iptables -A INPUT -p tcp -m state --state NEW --dport 21 -j ACCEPT
iptables: No chain/target/match by that name.
+ iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.
Für mich sieht das so aus, als ob da immer irgendwas hakt, wenn "-m state" und/oder "-m iprange" auftaucht. Nach meinem Kenntnisstand gibt es doch Module names ipt_iprange und ipt_state ...
Bloß scheinen die hier nicht mehr anwesend zu sein ... (?)
Hier mal die Ausgabe von lsmod:
Code:
Module                  Size  Used by    Tainted: P  
xt_tcpudp               2083  0 
xt_multiport            2226  0 
xt_MARK                  687  0 
xt_mark                  687  0 
xt_mac                   764  0 
ipt_REJECT              2095  0 
ipt_LOG                 6284  0 
iptable_filter          1286  0 
ip_tables              11516  1 iptable_filter
x_tables               14590  8 xt_tcpudp,xt_multiport,xt_MARK,xt_mark,xt_mac,ipt_REJECT,ipt_LOG,ip_tables
wlan_scan_ap            7759  1 
wlan_acl                3439  1 
wlan_wep                4327  0 
wlan_tkip               9430  1 
wlan_ccmp               6055  0 
wlan_xauth               601  0 
ath_pci               146970  0 
ath_spectral           93447  1 ath_pci
ath_rate_atheros       59408  1 ath_pci
wlan                  216988  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
ath_dfs                39661  3 wlan_scan_ap,ath_pci,wlan
ath_hal               301176  5 ath_pci,ath_spectral,ath_rate_atheros,ath_dfs
avm_ath_extensions     41284  6 wlan_scan_ap,ath_pci,ath_rate_atheros,wlan,ath_dfs,ath_hal
kdsldmod             1015222  4 
dsl_ur8               183779  0 
ramzswap               17338  1 
lzo_compress            1882  1 ramzswap
lzo_decompress          2047  1 ramzswap
dect_io                11542  0 
avm_dect              235989  1 dect_io
capi_codec            411701  0 
isdn_fbox_fon5        762808  5 
pcmlink               336297  3 avm_dect,capi_codec,isdn_fbox_fon5
loop                   13569  2 
jffs2                 104350  1 
Piglet_noemif          42466  0 
led_modul_Fritz_Box_7270plus    62648  2
Für eine 7170 sind bei der Auswahl der iptables-Module u.A. diese beiden (ipt_iprange und ipt_state) per default ausgewählt, für eine 7270v3 nicht ...
Weiß da jemand weiter .. ?
Grüße,

JD.
 
Zuletzt bearbeitet:

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Hallo zusammen,

könnte mir nicht irgendjemand verraten, wohin die beiden betreffenden Module (ipt_iprange, ipt_state) auf der Box müssen ? Dann kompiliere ich diese selbst und versuche, sie auf der 7270 zum Laufen zu bekommen.
Grüße,

JD.
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
1
Punkte
0
Du kannst die Module einfach so auf die Box bringen und laden. Wenn das funktioniert, kannst Du Dir immer noch Gedanken über den passenden Platz dafür machen.
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Nach Studium von diesem hier ist es wohl so, das ab Kernel 2.6.19.2 ipt_state fehlt, ab Kernel 2.6.28 dann auch ipt_iprange. Warum ?

Du kannst die Module einfach so auf die Box bringen und laden
Wo finde ich denn diese beiden Module, im Idealfall als Binary ?
Falls nicht (als Binary): Was brauch' ich (außer cc) zum kompilieren ?
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
1
Punkte
0
Nach Studium von diesem hier ist es wohl so, das ab Kernel 2.6.19.2 ipt_state fehlt, ab Kernel 2.6.28 dann auch ipt_iprange. Warum ?
Weiß ich auch nicht, vermutlich gab es Probleme damit, vielleicht wurde es auch nur vergessen. Du kannst man in der SVN-Historie schauen, ob es schon mal drin war, wenn ja steht vielleicht auch dabei, warum es entfernt wurde.

Wo finde ich denn diese beiden Module, im Idealfall als Binary ?
Das klang auch schon mal anders:
Dann kompiliere ich diese selbst und versuche, sie auf der 7270 zum Laufen zu bekommen.
Das Compilieren ist übrigens nicht weiter schwierig, wenn die Module in der Kernel-Config ausgewählt sind, werden sie auch erstellt.
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Du kannst man in der SVN-Historie schauen, ob es schon mal drin war, wenn ja steht vielleicht auch dabei, warum es entfernt wurde.
Hier steht, so wie ich es verstehe, in der Sache auch bloß drin, daß ipt_state ab Kernel 2.16.19.2 nicht mehr verfügbar ist.
Wäre evtl. Replace Kernel für mich eine Option ?

Das Compilieren ist übrigens nicht weiter schwierig, wenn die Module in der Kernel-Config ausgewählt sind, werden sie auch erstellt.
Okay, ich werde zunächst das heute abend mal probieren und dann wieder berichten.
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Hallo Jörg,

aber xt_state hatte ich doch im menuconfig (nebst allen anderen verfügbaren) deutlich ausgewählt ... (!?)
Deshalb wundert(e) mich auch, wieso es in meiner .config in Post #1 nicht auftaucht ...
Grüße,

JD.
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Hallo Jörg,
Vermutlich ist es dann "xt_state" , ...
Du hattest Recht: Unter source/kernel/ref-ur8-16mb-7270_05.05/lib/modules/2.6.32.21/kernel/net/netfilter gibt es eine xt_iprange.ko. Eine xt_state hingegen existiert nur als Source. Was müßte ich tun, um diese (ggfs. via make kernel-menuconfig)
zu kompilieren ? Und wie wahrscheinlich ist, daß 1. nach dem Registrieren dieses Moduls meine Box noch bootet und 2. dieses Modul tut, was eigentlich ipt_iprange tun sollte ?
Grüße,

JD.
 
Zuletzt bearbeitet:

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Okay, kleines Update:
Das Modul xt_iprange befindet sich bei einem geflashten Trunk-Image tatsächlich auf der Box, wird nur leider nicht per default geladen. Ein
Code:
modprobe xt_iprange
in der rc.costum tut dies. Nun sind bloß noch die Fehlermeldungen bzgl. des fehlenden xt_state übrig.
Kurioserweise existiert dieses Modul in der Build-Umgebung des stable-1.2-branches und wird auch per default kompiliert. Warum ist dies im Trunk nicht der Fall ?
Sollte ich einfach dieses Modul aus dem stable-1.2-branch auf die Box bringen und testen ?
Grüße,

JD.
 

olistudent

IPPF-Urgestein
Mitglied seit
19 Okt 2004
Beiträge
14,779
Punkte für Reaktionen
10
Punkte
38
Wahrscheinlich weil die Kernelversionen unterschiedlich sind?
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Aber wieso kann man denn dann nicht die Source, die doch im Trunk schon vorhanden ist, schlicht und ergreifend mit übersetzen und/oder im menuconfig hierzu anbieten ?
Grüße,

JD.
 

olistudent

IPPF-Urgestein
Mitglied seit
19 Okt 2004
Beiträge
14,779
Punkte für Reaktionen
10
Punkte
38
Weil es von conntrack abhängt?
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Soweit ich weiß, sollte doch die conntrack-Problematik ab der 7270 keine mehr sein ?
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Gibt es dazu schon definitive Rückmeldungen?
Ich zitiere nochmal das wiki:
[...]
die älteren Modelle (vor der 7270) hatten auf Grund des alten Kernels und der beschränkten HW Probleme mit conntrack (Überläufe der Tracking - Tabellen und daraus resultierende Reboots der Box)

Die 7270 hat mehr Arbeitsspeicher und einen neueren Kernel, und damit keine Probleme mehr mit mit conntrack (connection tracking Modul, benötigt um stateful Firewall Regeln z.B. für ftp, VoIP etc. zu erstellen).

Und wozu sollte denn der Trunk da sein, um dieses mal zu testen ?
Grüße,

JD.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,323
Beiträge
2,032,828
Mitglieder
351,889
Neuestes Mitglied
steff97