[Problem] 7390 Rebootschleife mit aktivierten nf_conntrack

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

marrio

Neuer User
Mitglied seit
11 Jul 2011
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Holla,

Hat sich hier schon jemand mit der 84.05.05 und dem nf_conntrack modul beschäftigt und hat eventuell eine funktionierende kernel config parat?

Wenn ich das mit make kernel-menuconfig aktiviere und das generic_conntrack von avm rausnehm land ich in einer Rebootschleife.

Das modul bräuchte ich für ip6tables.

Gruß
 
Das Modul ist absichtlich deaktiviert, da es sonst zu dem beschriebenen Verhalten kommt. Schuld daran ist AVM, die in ihren Kernelmodulen Strukturen des Kernels (speziell sk_buff) nutzen. Diese Struktur hat abhängig von den gewählten Optionen eine unterschiedliche Größe was zu einem Crash führt.

Gruß
Oliver
 
Schade aber auch,
also wird eine wirkliche stateful firewall mit ip6tables niemals möglich sein solange sich AVM nicht bewegt, oder?
Warum halten die sich nicht an die Datenstrukturen des Original-Kernels?
 
Sie halten sich daran. Aber die Größe der sk_buff Struktur ist abhängig von der Größe. Rechtlich gesehen (im Hinblick auf GPL) ist das natürlich kritisch zu bewerten, aber erreichen werden wir mit Hinweisen auf die GPL nichts. Selbst bei Mitarbeit seitens AVM ist die Lösung des Problems nicht trivial.

Gruß
Oliver
 
Vor Kurzem gab es ein paar Commits von ralf zu diesem Thema. Gibt es da etwas neues, kann/soll man da mal was testen?
 
Zuletzt bearbeitet:
Alles, was im Trunk ist, kann/soll man testen.
Bei mir startet eine 7320 mit dem Patch zumindest, aber ich habe derzeit keine Konfiguration, wo iptables genutzt wird.
 
Code: 
root@fritz:/var/mod/root# modprobe nf_conntrack
root@fritz:/var/mod/root# uname -a
Linux fritz.fonwlan.box 2.6.28.10 #2 Fri Aug 26 23:13:48 CEST 2011 mips GNU/Linux
root@fritz:/var/mod/root# lsmod |grep conntrack
nf_conntrack           58768  0
Immerhin lässt sich das Modul laden... :)

Es ist aber momentan noch in der Kernel .config deaktiviert.

Gruß
Oliver
 
Hast du mal eine kernel-config, in der das, was jetzt funktionieren sollte, aktiviert ist?
Also nur nf_conntrack, oder auch die ganzen anderen Module, advanced router etc.?
 
Das Problem ist hauptsächlich nf_conntrack.
So wie es aussieht, gibt es bislang keine Erfahrungen dazu. Aktiviere doch mal das, was Du nutzen möchtest und schau, was passiert.
 
RalfFriedl schrieb:
Das Problem ist hauptsächlich nf_conntrack.
So wie es aussieht, gibt es bislang keine Erfahrungen dazu. Aktiviere doch mal das, was Du nutzen möchtest und schau, was passiert.
Zum Vergrößern anklicken....

Ich versuche immer noch, Privoxy als "transparent proxy" einzurichten. Wie das geht, ist unter http://freetz.org/wiki/packages/privoxy beschrieben. Also habe ich im Kernel die entsprechenden Optionen, die ich benötige, um das IPTABLES-Target REDIRECT zu haben, ausgewählt, und neu gebaut. Im freetz menuconfig habe ich außerdem eingeschaltet, dass alle Module kopiert werden sollen.

Die Box startet, nf_conntrack lässt sich auch laden, aber sobald ich das Modul ipt_REDIRECT lade, bootet die Box nach 2-5 Sekunden neu. Es reicht für den Reboot auch schon, einfach den auf der Privoxy-Seite angegebenen iptables-Befehl auszuführen, der lädt die Module offenbar eigenständig und crasht damit die box.

Außerdem geht (auch mit nicht geladenem nf_conntrack-Modul!) die Übertragung von größeren Dateien über http nicht mehr. Ich kann zum Beispiel nicht mehr flashen, weil ich das Image nicht zur Box übertragen kann. Die Box bootet innerhalb weniger Sekunden neu, wenn ich im freetz- oder AVM-WebIF eine .image-Datei flashen will.

Ich habe meine freetz-config und meine veränderte kernel-config mal angehängt. Brauchst du weitere Infos?
 

Anhänge

  • kernel-config.txt
    44.7 KB · Aufrufe: 10
  • config.txt
    38.2 KB · Aufrufe: 9
Zuletzt bearbeitet:
Ich habe jetzt auf der 7320 folgende iptables Module
Code: 
Module                  Size  Used by    Tainted: P
xt_tcpudp               2944  1
iptable_filter          2624  0
ipt_REDIRECT            1600  1
iptable_nat             5232  1
nf_nat                 16512  2 ipt_REDIRECT,iptable_nat
nf_conntrack_ipv4       8160  3 iptable_nat,nf_nat
nf_defrag_ipv4          1728  1 nf_conntrack_ipv4
nf_conntrack           59040  3 iptable_nat,nf_nat,nf_conntrack_ipv4
ip_tables              11408  2 iptable_filter,iptable_nat
x_tables               15376  4 xt_tcpudp,ipt_REDIRECT,iptable_nat,ip_tables
Außerdem folgende Regeln:
Code: 
# iptables -t nat -A PREROUTING -p tcp -i lan --dport 1080 -j REDIRECT --to 80
# iptables -t nat -A OUTPUT -p tcp --dport 1080 -j REDIRECT --to 80
# iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    2   120 REDIRECT   tcp  --  lan    *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1080 redir ports 80

Chain POSTROUTING (policy ACCEPT 3 packets, 180 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    3   180 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1080 redir ports 80
Damit kann ich von einem anderen Gerät über Port 1080 das Web-Interface der Box erreichen, auch über eine IP-Adresse, die auf die Box geroutet wird. An der Box selbst ist Port 1080 über die zweite Regel auch erreichbar.

Von daher würde ich sagen, dass es bei mir funktioniert, auch wenn ich nicht lange genug getestet habe um Aussagen zur Stabilität zu machen.

Welche Box verwendest Du?
 
Ich habe eine 7390...

Welche Module genau hast du in deiner Kernel-Config zusätzlich aktiviert?
 
Hier mein Diff der Kernel-Config, wobei nicht alle Änderungen unbedingt damit zu tun haben müssen, einige Punkte hatte ich auf Verdacht aktiviert, um nicht immer wieder einen neuen Kernel erstellen zu müssen.
Code: 
--- make/linux/Config.ar9-16mb.7320_04.86       (Revision 7500)
+++ make/linux/Config.ar9-16mb.7320_04.86       (Arbeitskopie)
@@ -1,7 +1,7 @@
 #
 # Automatically generated make config: don't edit
 # Linux kernel version: 2.6.28.8
-# Mon May 23 14:02:51 2011
+# Sun Aug 28 17:17:26 2011
 #
 CONFIG_MIPS=y

@@ -407,22 +407,46 @@
 #
 # CONFIG_NETFILTER_NETLINK_QUEUE is not set
 # CONFIG_NETFILTER_NETLINK_LOG is not set
-# CONFIG_NF_CONNTRACK is not set
+CONFIG_NF_CONNTRACK=m
+# CONFIG_NF_CT_ACCT is not set
+CONFIG_NF_CONNTRACK_MARK=y
+# CONFIG_NF_CONNTRACK_EVENTS is not set
+# CONFIG_NF_CT_PROTO_DCCP is not set
+# CONFIG_NF_CT_PROTO_SCTP is not set
+# CONFIG_NF_CT_PROTO_UDPLITE is not set
+# CONFIG_NF_CONNTRACK_AMANDA is not set
+# CONFIG_NF_CONNTRACK_FTP is not set
+# CONFIG_NF_CONNTRACK_H323 is not set
+# CONFIG_NF_CONNTRACK_IRC is not set
+# CONFIG_NF_CONNTRACK_NETBIOS_NS is not set
+# CONFIG_NF_CONNTRACK_PPTP is not set
+# CONFIG_NF_CONNTRACK_SANE is not set
+# CONFIG_NF_CONNTRACK_SIP is not set
+# CONFIG_NF_CONNTRACK_TFTP is not set
+# CONFIG_NF_CT_NETLINK is not set
+# CONFIG_NETFILTER_TPROXY is not set
 CONFIG_NETFILTER_XTABLES=m
 CONFIG_NETFILTER_XT_TARGET_CLASSIFY=m
+# CONFIG_NETFILTER_XT_TARGET_CONNMARK is not set
 # CONFIG_NETFILTER_XT_TARGET_DSCP is not set
 CONFIG_NETFILTER_XT_TARGET_MARK=m
 # CONFIG_NETFILTER_XT_TARGET_NFLOG is not set
 CONFIG_NETFILTER_XT_TARGET_NFQUEUE=m
+# CONFIG_NETFILTER_XT_TARGET_NOTRACK is not set
 CONFIG_NETFILTER_XT_TARGET_RATEEST=m
 # CONFIG_NETFILTER_XT_TARGET_TRACE is not set
 # CONFIG_NETFILTER_XT_TARGET_TCPMSS is not set
 # CONFIG_NETFILTER_XT_TARGET_TCPOPTSTRIP is not set
 CONFIG_NETFILTER_XT_MATCH_COMMENT=m
+# CONFIG_NETFILTER_XT_MATCH_CONNBYTES is not set
+# CONFIG_NETFILTER_XT_MATCH_CONNLIMIT is not set
+# CONFIG_NETFILTER_XT_MATCH_CONNMARK is not set
+# CONFIG_NETFILTER_XT_MATCH_CONNTRACK is not set
 # CONFIG_NETFILTER_XT_MATCH_DCCP is not set
 # CONFIG_NETFILTER_XT_MATCH_DSCP is not set
 CONFIG_NETFILTER_XT_MATCH_ESP=m
 # CONFIG_NETFILTER_XT_MATCH_HASHLIMIT is not set
+# CONFIG_NETFILTER_XT_MATCH_HELPER is not set
 CONFIG_NETFILTER_XT_MATCH_IPRANGE=m
 CONFIG_NETFILTER_XT_MATCH_LENGTH=m
 CONFIG_NETFILTER_XT_MATCH_LIMIT=m
@@ -438,6 +462,7 @@
 CONFIG_NETFILTER_XT_MATCH_RECENT=m
 # CONFIG_NETFILTER_XT_MATCH_RECENT_PROC_COMPAT is not set
 # CONFIG_NETFILTER_XT_MATCH_SCTP is not set
+# CONFIG_NETFILTER_XT_MATCH_STATE is not set
 CONFIG_NETFILTER_XT_MATCH_STATISTIC=m
 CONFIG_NETFILTER_XT_MATCH_STRING=m
 CONFIG_NETFILTER_XT_MATCH_TCPMSS=m
@@ -448,8 +473,10 @@
 #
 # IP: Netfilter Configuration
 #
-# CONFIG_NF_DEFRAG_IPV4 is not set
-CONFIG_IP_NF_QUEUE=y
+CONFIG_NF_DEFRAG_IPV4=m
+CONFIG_NF_CONNTRACK_IPV4=m
+# CONFIG_NF_CONNTRACK_PROC_COMPAT is not set
+# CONFIG_IP_NF_QUEUE is not set
 CONFIG_IP_NF_IPTABLES=m
 CONFIG_IP_NF_MATCH_ADDRTYPE=m
 CONFIG_IP_NF_MATCH_AH=m
@@ -458,19 +485,34 @@
 CONFIG_IP_NF_FILTER=m
 CONFIG_IP_NF_TARGET_REJECT=m
 CONFIG_IP_NF_TARGET_LOG=m
-# CONFIG_IP_NF_TARGET_ULOG is not set
+CONFIG_IP_NF_TARGET_ULOG=m
+CONFIG_NF_NAT=m
+CONFIG_NF_NAT_NEEDED=y
+CONFIG_IP_NF_TARGET_MASQUERADE=m
+CONFIG_IP_NF_TARGET_NETMAP=m
+CONFIG_IP_NF_TARGET_REDIRECT=m
+# CONFIG_NF_NAT_SNMP_BASIC is not set
+# CONFIG_NF_NAT_FTP is not set
+# CONFIG_NF_NAT_IRC is not set
+# CONFIG_NF_NAT_TFTP is not set
+# CONFIG_NF_NAT_AMANDA is not set
+# CONFIG_NF_NAT_PPTP is not set
+# CONFIG_NF_NAT_H323 is not set
+# CONFIG_NF_NAT_SIP is not set
 CONFIG_IP_NF_MANGLE=m
-# CONFIG_IP_NF_TARGET_ECN is not set
+CONFIG_IP_NF_TARGET_CLUSTERIP=m
+CONFIG_IP_NF_TARGET_ECN=m
 CONFIG_IP_NF_TARGET_TTL=m
 CONFIG_IP_NF_RAW=m
-# CONFIG_IP_NF_SECURITY is not set
+CONFIG_IP_NF_SECURITY=m
 CONFIG_IP_NF_ARPTABLES=m
-# CONFIG_IP_NF_ARPFILTER is not set
-# CONFIG_IP_NF_ARP_MANGLE is not set
+CONFIG_IP_NF_ARPFILTER=m
+CONFIG_IP_NF_ARP_MANGLE=m

 #
 # IPv6: Netfilter Configuration
 #
+CONFIG_NF_CONNTRACK_IPV6=m
 CONFIG_IP6_NF_QUEUE=m
 CONFIG_IP6_NF_IPTABLES=m
 CONFIG_IP6_NF_MATCH_AH=m
Insbesondere CONFIG_IP_NF_QUEUE habe ich nur deaktiviert, weil in der Beschreibung deprecated stand, nicht weil ich vermute, dass es irgendwelche Probleme bereitet.
 
Ich habe die 7270v2 mit Firmware 54.05.05 und vermisse einige Funktionen von iptables (u. a. Bau transparenter Proxies) schmerzlich. Ist es schwierig, Ralfs oben erwähnte Änderungen an die besagte Firmware anzupassen?

Grüße

mrspeccy
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 627 (Mitglieder: 26, Gäste: 601)

Neueste Beiträge

Statistik des Forums

Themen
246,295
Beiträge
2,249,598
Mitglieder
373,893
Neuestes Mitglied
Kukkatto
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück