FB 7390 FW mit Trunk startet kein iptables

[JohnDoe42]

Hallo zusammen,

meine FB 7390 FW besitzt die aktuelle AVM-FW (.89) und ein Trunk-Image (6435). Leider startet iptables, händisch angestoßen, nicht. Hier meine .config:

FREETZ_HAVE_DOT_CONFIG=y
FREETZ_AVM_VERSION_7390_04_89=y
FREETZ_TYPE_FON_WLAN_7390=y
FREETZ_AVM_VERSION_STRING="7390_04.89"
FREETZ_TYPE_LANG_DE=y
FREETZ_TYPE_LANG_STRING="de"
FREETZ_TYPE_STRING="7390"
FREETZ_INSTALL_BASE=y
FREETZ_PACKAGE_MOD=y
FREETZ_REPLACE_BUSYBOX=y
FREETZ_SHOW_ADVANCED=y
FREETZ_TARGET_IPV6_SUPPORT=y
FREETZ_TARGET_REF_16MB=y
FREETZ_TARGET_REF="16mb"
FREETZ_KERNEL_REF_16MB=y
FREETZ_KERNEL_REF="16mb"
FREETZ_KERNEL_MTD_SIZE=238
FREETZ_HAS_AVM_IPV6=y
FREETZ_HAS_AVM_INETD=y
FREETZ_HAS_DECT=y
FREETZ_HAS_LIBSSL=y
FREETZ_HAS_NAS=y
FREETZ_HAS_PHONE=y
FREETZ_HAS_TAM=y
FREETZ_HAS_USB_HOST=y
FREETZ_HAS_WLAN=y
FREETZ_LANG_DE=y
FREETZ_LANG_STRING="de"
FREETZ_REMOVE_DTRACE=y
FREETZ_PACKAGE_BRIDGE_UTILS=y
FREETZ_PACKAGE_DROPBEAR=y
FREETZ_PACKAGE_DROPBEAR_SERVER_ONLY=y
FREETZ_PACKAGE_DROPBEAR_WITH_ZLIB=y
FREETZ_PACKAGE_DROPBEAR_DISABLE_HOST_LOOKUP=y
FREETZ_PACKAGE_INETD=y
FREETZ_PACKAGE_OPENVPN=y
FREETZ_PACKAGE_OPENVPN_WITH_LZO=y
FREETZ_PACKAGE_OPENVPN_WITH_MGMNT=y
FREETZ_PACKAGE_OPENVPN_ENABLE_SMALL=y
FREETZ_PACKAGE_PRIVOXY=y
FREETZ_PACKAGE_PRIVOXY_WITH_SHARED_PCRE=y
FREETZ_PACKAGE_PRIVOXY_WITH_ZLIB=y
FREETZ_PACKAGE_FSTYP=y
FREETZ_PACKAGE_AUTHORIZED_KEYS=y
FREETZ_PACKAGE_AVM_FIREWALL=y
FREETZ_PACKAGE_SYSLOGD_CGI=y
FREETZ_SHOW_UNSTABLE_PACKAGES=y
FREETZ_PACKAGE_IPTABLES=y
FREETZ_PACKAGE_IPTABLES_CGI=y
FREETZ_PACKAGE_NHIPT=y
FREETZ_PACKAGE_IPTABLES_STANDARD_MODULES=y
FREETZ_PACKAGE_IPTABLES_KERNEL_MODULES=y
FREETZ_MODULE_ip_conntrack=y
FREETZ_MODULE_ip_conntrack_ftp=y
FREETZ_MODULE_ip_nat=y
FREETZ_MODULE_ip_nat_ftp=y
FREETZ_MODULE_iptable_filter=y
FREETZ_MODULE_iptable_nat=y
FREETZ_MODULE_ip_tables=y
FREETZ_MODULE_ipt_iprange=y
FREETZ_MODULE_ipt_LOG=y
FREETZ_MODULE_ipt_MASQUERADE=y
FREETZ_MODULE_ipt_REDIRECT=y
FREETZ_MODULE_ipt_REJECT=y
FREETZ_MODULE_x_tables=y
FREETZ_MODULE_xt_conntrack=y
FREETZ_MODULE_xt_length=y
FREETZ_MODULE_xt_limit=y
FREETZ_MODULE_xt_mac=y
FREETZ_MODULE_xt_multiport=y
FREETZ_MODULE_xt_mark=y
FREETZ_MODULE_xt_MARK=y
FREETZ_MODULE_xt_pkttype=y
FREETZ_MODULE_xt_physdev=y
FREETZ_MODULE_xt_state=y
FREETZ_MODULE_xt_tcpudp=y
FREETZ_PACKAGE_IPTABLES_SHARED_LIBS=y
FREETZ_LIB_libipt_addrtype=y
FREETZ_LIB_libipt_DNAT=y
FREETZ_LIB_libipt_icmp=y
FREETZ_LIB_libipt_LOG=y
FREETZ_LIB_libipt_MASQUERADE=y
FREETZ_LIB_libipt_policy=y
FREETZ_LIB_libipt_REDIRECT=y
FREETZ_LIB_libipt_REJECT=y
FREETZ_LIB_libipt_set=y
FREETZ_LIB_libipt_SET=y
FREETZ_LIB_libipt_SNAT=y
FREETZ_LIB_libipt_ULOG=y
FREETZ_LIB_libxt_CLASSIFY=y
FREETZ_LIB_libxt_connbytes=y
FREETZ_LIB_libxt_connmark=y
FREETZ_LIB_libxt_CONNMARK=y
FREETZ_LIB_libxt_conntrack=y
FREETZ_LIB_libxt_iprange=y
FREETZ_LIB_libxt_length=y
FREETZ_LIB_libxt_limit=y
FREETZ_LIB_libxt_mac=y
FREETZ_LIB_libxt_mark=y
FREETZ_LIB_libxt_MARK=y
FREETZ_LIB_libxt_multiport=y
FREETZ_LIB_libxt_physdev=y
FREETZ_LIB_libxt_pkttype=y
FREETZ_LIB_libxt_standard=y
FREETZ_LIB_libxt_state=y
FREETZ_LIB_libxt_TCPMSS=y
FREETZ_LIB_libxt_tcp=y
FREETZ_LIB_libxt_udp=y
FREETZ_LIB_libip6t_icmp6=y
FREETZ_PACKAGE_HASERL=y
FREETZ_PACKAGE_MODCGI=y
FREETZ_DL_KERNEL_SITE="@AVM/fritz.box/fritzbox.fon_wlan_7390/x_misc/opensrc"
FREETZ_DL_KERNEL_SOURCE="fritz_box_fon_wlan_7390_source_files.04.89.tar.gz"
FREETZ_DL_KERNEL_SOURCE_MD5="e4da7c304f887aff521133dffca24cea"
FREETZ_DL_SITE="@AVM/fritz.box/fritzbox.fon_wlan_7390/firmware/deutsch"
FREETZ_DL_SOURCE="FRITZ.Box_Fon_WLAN_7390.84.04.89.image"
FREETZ_DL_SOURCE_MD5="9923b51c2d315e389c455bbd5fdb96de"
FREETZ_MOD_DL_NUM_SITES="5"
FREETZ_MOD_DL_SITE_1="http://freetz.3dfxatwork.de"
FREETZ_MOD_DL_SITE_2="http://freetz.wirsind.info"
FREETZ_MOD_DL_SITE_3="http://freetz.magenbrot.net"
FREETZ_MOD_DL_SITE_4=""
FREETZ_MOD_DL_SITE_5=""
FREETZ_VERBOSITY_LEVEL=2
FREETZ_JLEVEL=2
FREETZ_CHECK_CHANGED=y
FREETZ_SECURITY_LEVEL=1
FREETZ_STYLE_COLORED=y
FREETZ_STYLE="colored"
FREETZ_FAVICON_NONE=y
FREETZ_FAVICON_STRING="none"
FREETZ_SUBVERSION_STRING=y
FREETZ_DEVELOPER_VERSION_STRING=y
FREETZ_USER_DEFINED_COMMENT=""
FREETZ_CREATE_SEPARATE_OPTIONS_CFG=y
FREETZ_SQUASHFS_BLOCKSIZE_65536=y
FREETZ_BUSYBOX_INETD=y
FREETZ_BUSYBOX_MD5SUM=y
FREETZ_BUSYBOX_REALPATH=y
FREETZ_BUSYBOX_TAR_OLDGNU_COMPATIBILITY=y
FREETZ_BUSYBOX_WGET=y
FREETZ_BUSYBOX_FEATURE_PREFER_IPV4_ADDRESS=y
FREETZ_LIB_libcrypto=y
FREETZ_LIB_libssl=y
FREETZ_LIB_liblzo2=y
FREETZ_LIB_libz=y
FREETZ_LIB_libgcc_s=y
FREETZ_LIB_libfreetz=y
FREETZ_LIB_libpcre=y
FREETZ_LIB_libpcreposix=y
FREETZ_LIB_libpopt=y
FREETZ_LIB_ld_uClibc=y
FREETZ_LIB_libcrypt=y
FREETZ_LIB_libdl=y
FREETZ_LIB_libm=y
FREETZ_LIB_libnsl=y
FREETZ_LIB_libpthread=y
FREETZ_LIB_libresolv=y
FREETZ_LIB_librt=y
FREETZ_LIB_libuClibc=y
FREETZ_LIB_libutil=y
FREETZ_TARGET_ARCH_BE=y
FREETZ_TARGET_ARCH="mips"
FREETZ_TARGET_CROSS="mips-linux-uclibc-"
FREETZ_TARGET_MAKE_PATH="toolchain/target/bin"
FREETZ_KERNEL_CROSS="mips-unknown-linux-gnu-"
FREETZ_KERNEL_MAKE_PATH="toolchain/kernel/bin"
FREETZ_DOWNLOAD_TOOLCHAIN=y
FREETZ_KERNEL_VERSION_2_6_19_2=y
FREETZ_KERNEL_VERSION="2.6.19.2"
FREETZ_KERNEL_LAYOUT_IKS=y
FREETZ_KERNEL_LAYOUT="iks"
FREETZ_UCLIBC_0_9_29_BASED_BOX=y
FREETZ_KERNEL_COMPILER_GCC_3_4_6=y
FREETZ_KERNEL_GCC_VERSION="3.4.6"
FREETZ_KERNEL_BINUTILS_VERSION="2.18"
FREETZ_TARGET_UCLIBC_VERSION_0_9_29=y
FREETZ_TARGET_UCLIBC_CONFIG_MOD=y
FREETZ_TARGET_COMPILER_GCC_4_4_5=y
FREETZ_TARGET_UCLIBC_VERSION="0.9.29"
FREETZ_TARGET_GCC_VERSION="4.4.5"
FREETZ_TARGET_BINUTILS_VERSION="2.21.51.0.4"
FREETZ_TARGET_UCLIBC_REF="mod"
FREETZ_TARGET_CFLAGS="-Os -pipe -march=4kc -Wa,--trap"
FREETZ_TARGET_LFS=y
FREETZ_TOOLCHAIN_MINIMIZE_REQUIRED_GLIBC_VERSION=y

Syslog listet Folgendes:

Jan 19 19:07:22 fritz daemon.err chronyd[2903]: Could not stop measurement : Operation not permitted
Jan 19 19:07:22 fritz daemon.err chronyd[2903]: Could not start measurement : Operation not permitted
Jan 19 19:07:22 fritz daemon.err chronyd[2903]: Could not start measurement : Operation not permitted

Könnte mir da jemand einen Tip geben, woran es scheitert ? Die entsprechenden iptables-Module scheinen mir ja geladen zu sein ...
Grüße,

JD.

 

[olistudent]

Der chronyd Fehler hat nichts mit iptables zu tun, da sollte sich über die Suche was finden lassen.

Zur Diagnose wäre eine Beschreibung was du tust und eine Fehlermeldung hilfreich.

Gruß
Oliver

 

[JohnDoe42]

Hallo Oliver,

ich versuche, iptables mittels der Freetz-GUI zu starten. Es scheinen auch die benötigten Module geladen zu werden, allerdings erscheint iptables nachher wieder als gestopt. Jetzt hab' ich im Forum schon zwei Threads bezüglich der 7390 und iptables dahingehend gefunden, daß bei der 7390 wohl die netfilter-Komponenten schon zum Teil des Kernels sind. Bloß was genau starte ich den mit dem Button 'iptables' des Freetz-WebIF ? Das iptables-cgi ? Oder den Dienst selber ? Eventuell sollte ich noch erwähnen, daß ich sowohl iptables als auch nihpt im Image habe ... aber das sollte wohl laut candos nihpt-Thread keinen Unterschied machen. Wo könnte ich denn nach Fehlermeldungen gucken ? Unter syslog ist dem ersten Augenschein nach nichts iptables-Bezogenes zu finden.
Grüße,

JD.

 

[olistudent]

Versuch doch mal nhipt auf der 7390. Laut cando sollte das laufen. iptables-cgi geht derzeit nicht.

Gruß
Oliver

 

[cando]

Wenn Du im nhipt UI was siehst, dann laufen "iptables". Der Dienst hat für nhipt keine Auswirkung. Auch beim iptables cgi hat der Dienst keine Wirkung auf netfilter/iptables - die Netfilter Firewall läuft immer. Er wird benutzt um zu signalisieren, ob die Regeln vom iptables-cgi gerade aktiv sind oder nicht. Ich würde mich für eins der beiden UI's entscheiden.

Wenn Du das iptables cgi verwendest, wird beim Stop des Dienstes, das gesamte Regelwerk entladen, Benutzer Tabellen gelöscht, die default pocies für alles auf permit gesetzt und die Modulliste der ladbaren module entladen - soweit möglich, danach zeigt der Dienst "stopped" an - tatsächlich läuft natürlich die Firewall ohne Regeln weiter.

Wenn Du nhipt allein installierst, wird ein solcher pseudo-dienst gar nicht erst angezeigt, die gesamte Steuerung läuft über die freetz config Maske für das Web Interface und der Rest (Regelwerk) im nhipt UI.

Mit ssh kannst Du den status von iptables jederzeit selbst abfragen:

iptables -L

Übrigens, iptables ist ein command line interface für die Netfilter Firewall - deshalb wirst Du es als Dienst auch im ps in der Prozess-Liste nicht finden...

 

[JohnDoe42]

Okay, danke für die Info.

Heißt das, daß ich im unter menuconfig iptables selber drin lassen und nur die CGI 'rausnehmen soll ? Wie ich bereits oben schrieb, läuft ja iptables-CGI schon auf der Box ... bloß scheint das CGI nicht so recht mit der Anwendung selber verbunden zu sein ...
Grüße,

JD.

 

[cando]

Zur CGI auf der 7390 kann ich Dir nichts sagen, ich benutze sie nicht. für nhipt brauchst Du das nhipt paket und alles was Du für Deine Regeln aus dem iptables Bereich brauchst. Ich habe alle Module und Bibliotheken drin.

- Package Selection - unstable -
+ iptables 1.4.1.1
+ NHIPT IPTables CGI
+ IPTable Kernel Modules
+ IPTable shared libraries

Ach ja, ich weiss nicht, ob mein Patch für die 7390 mittlerweile im Trunk Einzug gehalten hat, notfalls musst Du ihn Dir aus dem Forum oder wiki herunterladen und anwenden vor dem Kompilieren, sonst gibts statt einem UI nur eine weisse Seite...

 

[JohnDoe42]

Hallo cando,

also Du hast ALLE Kernel Modules und ALLE shared libraries mit in Deinem Image ??? Also auch den ganzen IPv6-Kram ?
Grüße,

JD.

 

[cando]

Früher hatte ich den nicht mit drin, da man bei der Box ipv6 abwählen konnte. In der neuen Version ist ipv6 ja immer drin - auch wenn man es per fritz UI abschalten kann. Deshalb habe ich auch die iptables für ipv6 bei mir mit reingenommen. Das nhipt UI kann ja sowohl ipv4 als auch ipv6 Regeln bauen mit ip6tables. Platz genug ist ja auf der Box...

 

[JohnDoe42]

Okay,

ich werde mal das iptables-CGI 'rausschmeißen und alle Module und Libraries mit 'reinnehmen und dann wieder berichten. Vielen Dank soweit und Grüße,

JD.

 

[JohnDoe42]

Hallo cando,

nachdem ich mal versucht habe, nihpt auf der Box zu starten, kommt folgende Fehlermeldung:

Configuring services ...

Saving settings ... done.
Saving nhipt.cfg ... done.

modprobe: module ip_tables not found in modules.dep
modprobe: module iptable_filter not found in modules.dep
modprobe: module x_tables not found in modules.dep
modprobe: module ip_conntrack not found in modules.dep
modprobe: module ip_conntrack_ftp not found in modules.dep
modprobe: module ipt_LOG not found in modules.dep
modprobe: module ipt_REJECT not found in modules.dep
modprobe: module xt_multiport not found in modules.dep
modprobe: module xt_state not found in modules.dep
configuring nhipt gui ... /usr/ipt
iptables reconfigured

Deutet dies darauf hin, daß ich evtl. doch nicht alle nötigen Module auf der Box habe ?
Ich hab' mal Folgendes gemacht: Ich hatte ein (Rudimentär-)Script mit iptables-Regeln einer anderen Box. Selbiges hab' ich auf die 7390 kopiert und laufen lassen. Und siehe da: ein iptables -L auf der 7390 zeigt mir alle Regeln exakt an. Scheint also zu laufen. Jetz' brauch ich bloß noch eine GUI, um mir diese vielleicht mal angucken und ggfs. ändern zu können ... ;-)
Grüße,

JD.

 

[cando]

Alles bestens, die 7390 hat besagte module bereits im kernel fest verdrahtet, deshalb wird dafür modprobe nicht benötigt - ist nur ein Hinweis. Du kannst einfach die firewallregeln erstellen, wenn sie im UI erscheinen (oder per iptables - L auf der Konsole erscheinen) ist alles OK. Wenn Module fehlen, bekommst du eine entsprechende Fehlermeldung beim erstellen der Regel und das Kommando wird nicht ausgeführt.

Gui unter http://fritz.box:82 oder http://fritz.box:83 - je nach dem was Du eingestellt hast. Den Gui Dienst kannst Du in freetz starten / Stoppen im Anschnitt nhipt