Beziehung zwischen iptables, firewall.cgi, den AVM-NAT-Funktionen und der ar7.cfg?

Toggle sidebar Toggle sidebar
Upgrade 3CX to v18 and get it hosted free!
M

MKunert

Neuer User
Mitglied seit
16 Jun 2006
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Hi,

ich habe gerade die ersten 1-5 Schritte in Richtung ds-mod-iptables-Land zurückgelegt, da drängt sich mir doch die scheinbare Überlappung der o.g. Themen auf.

Mein Ziel wäre ein einziger Ort, an dem alle von iptables konfigurierbaren Einstellungen hinterlegt sind. Ich bin ein Fan vom fwbuilder, also würde ich gern dieses Tool nutzen. Nach meinem Verständnis sind die anderen "Orte", an denen Konfigurationen vorgenommen werden, nicht dazu gedacht, iptables komplett zu ersetzen.

Kann ich nach geschickter und vollständiger iptables-Konfiguration alle anderen Paketfilter-Speicherorte auf "leer" setzen?

Als Randbemerkung: ich fände eine Klärung in dieser Frage auch sehr passend für das Wiki. Würde mich anbieten, die Antworten in diesem Thread redaktionell zu verdichten und in eine wiki-taugliche Form zu überführen (falls niemand anders schneller ist).
 
Bitte korrigiert mich, wenn ich was falsches sage, das hier ist nur, wie ich es verstanden habe:

Zunächst mal: Soweit ich weiss, ist iptables auf der Box nicht vollständig/zuverlässig funktionsfähig. Inwieweit es da Probleme gibt, und welche, ist mir aber nicht genau bekannt (offenbar gibt es auch wenige Leute, die das wirklich produktiv einsetzen).

Zur Klärung der Situation:
firewall.cgi ist ein Paket, welches die Konfiguration einer iptables-Firewall per dsmod-Webinterface vereinfachen soll. Soweit ich weiss, bietet es dazu eingeschränkte Möglichkeiten, bestimmte iptables-Regeln einzustellen, ist also keine komplette Lösung.

iptables selbst ist in den Std-AVM-Firmwares nicht enthalten.

Die AVM-Lösung der Firewall- und NAT-Funktionalität funktioniert ganz anders: Wenn ich es richtig verstanden habe, verwaltet der dsld die IP-Verbindung zur Aussenwelt (idR über das DSL-Modem). Er verwendet dazu 2 'virtuelle' Interfaces, ein 'externes' und ein 'internes'. Das externe Interface erhält die vom Internetprovider zugewiesene IP-Adresse. Dieses Interface ist logischerweise das einzige, was vom Internet aus erreichbar ist. Dieses Interface ist jedoch vom Kernel der Box aus nicht ansprechbar. Das 'interne' Interface jedoch ist ein 'normales' Netzwerkinterface, das auch vom Kernel verwaltet wird. Es hat typischerweise den Namen 'dsl' und eine IP-Adresse 169.254.x.y. Auf dieses Interface zeigt auf der Box auch die Default-Route.

Der dsld implementiert nun quasi 'zwischen' diesen beiden Interfaces das NATing und die Paketfilter-Firewall. Letztere kann über Einstellungen in der ar7.config konfiguriert werden.

Aus diesem Aufbau folgt (da das externe Interface der Box vom Kernel nicht angesprochen werden kann), daß es nicht möglich ist, die vorhandene Funktionalität rein mit iptables zu implementieren. Es ist lediglich möglich, zusätzliche Regeln auf den ansprechbaren Interfaces einzurichten.

Die einzige Möglichkeit, eine all-in-one-Lösung mit iptables zu erreichen wäre daher aus meiner Sicht, den dsld komplett durch eine alternative Implementierung zu ersetzen. Soweit ich weiss ist das zumindest teilweise mit Komponenten des OpenWRT-Projektes möglich. Ob sowas aber auch im DSMod gewünscht/möglich ist, ist die zweite Frage.
 
Wow!

@McNetic + @knox

Beides exzellenter Input. Einiges wird jetzt klarer (inklusive dieses sonderbare "dsl" Interface mit der unbekannten ip auf meiner Box :cool:)

Ich nehme erstmal folgendes mit:
  • Paketbezogene Regeln, die das externe DSL-IF berühren, gehören besser in die ar7.cfg. Hier kann ich zwar nicht alles implementieren, was iptables könnte - ich habe aber i.d.R. auch für das meiste keine Verwendung. IPs / Ports / States: das sollte hier für's erste reichen.
  • Alles für den Verkehr im LAN oder zwischen meinen "Sub-LANs" mach ich direkt per iptables-Script. Hier kann ich zwar auch Regeln bezüglich des "dsl"-IF setzen, die sind allerdings kumulativ zu den ar7.cfg-Regeln und behindern mehr, als dass sie helfen. Das Ganze muss ja noch administrierbar bleiben.
  • Für fwbuilder bräuchte man einen eigenen Policy-Compiler, der die Trennung zwischen ar7.cfg und iptables kennt (dies wäre wohl ein Feature-Request an Vadim Kurland und hätte wenig mit dem ds-mod zu tun)
Das sieht nach Hausaufgaben für's Wiki aus :rolleyes:. Nebenbei halte ich auch diesen leicht staubigen Thread weiterhin für nahrhaft.
 
Um antworten zu können musst du eingeloggt sein.
Kostenlos!
Jetzt holen

Neueste Beiträge

Kategorien

Wissenswertes

Zurzeit aktive Besucher

Gesamt: 380 (Mitglieder: 29, Gäste: 351)

Statistik des Forums

Themen
247,240
Beiträge
2,264,321
Mitglieder
375,755
Neuestes Mitglied
MrTeaTimey

3CX jetzt einen Monat kostenlos testen

Die Verbindung, Zusammenarbeit und Kommunikation mit Ihrem Team und Ihren Kunden war noch nie so einfach. Nutzen Sie unsere kostenlose 30-Tage-Testversion und entdecken Sie die richtige Lösung für Ihr Unternehmen.

3CX start your free trial guy
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten