Firewall-cgi und VoIP-Probleme?

PEPITO82

Neuer User
Mitglied seit
9 Jul 2005
Beiträge
144
Punkte für Reaktionen
0
Punkte
16
Mir geht es mal wieder um die Firewall-cgi.

Diese soll sich ja mit VOIP nicht so vertragen. Was kann ich darunter verstehen? Wird VOIP gar nicht mehr funktionieren?

Was ich bräuchte ist ne wirklich einfache Lösung um ein paar Leute anhand der MAC-Adresse aus dem an die Fritz!Box angeschlossene Netzwerk auszusperren. Ich sollte hier von Sydney aus am besten alles soweit vorbereiten können und dann nur noch es vor Ort von jemanden einspielen lassen müssen. Das Feintuning sollte dann über Remotezugriff machbar sein.

Das hört sich ziemlich nach dem ds-mod an.
Am besten wäre es natürlich, wenn VOIP weiterhin möglich ist. Aber zur Not würde ich auch schweren Herzens darauf verzichten und auf ein baldiges Update hoffen, welche auch dieses ermöglicht.

Muss ich beim zusammenstellen des ds-mod eigentlich irgendwas bei der Paketwahl noch berücksichtigen, wenn ich die Firewall nutzen möchte?

Liebe Grüße aus Sydney,

Peter

P.S.: Danke gandalf für das neue Thema. ;)
 
Zuletzt bearbeitet:
G

gandalf94305

Guest
Hallo PEPITO Down Under ;-)

Ich habe Dein Posting mal in einen neuen Thread gesetzt, da der andere mit fast 1000 Postings doch etwas unübersichtlich wird und schließlich das gesamte Forum um ds-mod geht ;-)

--gandalf.
 

danisahne

Aktives Mitglied
Mitglied seit
30 Jul 2005
Beiträge
1,493
Punkte für Reaktionen
0
Punkte
0
Ich lasse nun in der Version ds-0.2.6 mit einem Hack die Firewall vor den ganzen voip und net Startskripten ausführen. Bringt das etwas? Ich kanns schlecht testen.

Ansonsten hast du deine Frage schon öfters hier gestellt. Wenn das jetzt immer noch nicht klappt, dann kannst du nicht viel vorbereiten. Es muss jemand an die Box ran, der iptables kann und die Firewall dann per Hand ohne ip_conntrack schreibt.

Mfg,
danisahne
 

PEPITO82

Neuer User
Mitglied seit
9 Jul 2005
Beiträge
144
Punkte für Reaktionen
0
Punkte
16
danke Daniel für deine schnelle Antwort. Wenn ich nun also den ds-0.2.6 kompiliere, dann sind die Änderungen schon enthalten?

Werde es dann einfach mal wagen und mir ne neue Firmware zusammenbasteln, sowie diese dann in die Fritz!Box einspielen lassen.
 

jebu81

Neuer User
Mitglied seit
5 Jan 2005
Beiträge
178
Punkte für Reaktionen
0
Punkte
0
Achtung!?

danisahne schrieb:
Ich lasse nun in der Version ds-0.2.6 mit einem Hack die Firewall vor den ganzen voip und net Startskripten ausführen. Bringt das etwas? Ich kanns schlecht testen.
Ich glaube das hat mir die Box zerschossen bzw. zum Recover-Fall gemacht.
Die 0.2.6 habe ich wie immer problemlos geflasht, auch nach einem Neustart war noch alles OK. Zwischendurch habe ich noch die iptables über firewall-cgi aktiviert, telefon machte die bekannten Probleme, Neustart und alles war wieder gut.
Dann hab ich Deine Info da oben gelesen und die Firewall automatisch starten lassen. Damit habe ich mich dann komplett ausgesperrt. Nach einem Reboot ging dann nix mehr bis auf eine in vielleicht 10 s Abstand blinkende Power-LED, die restlichen LEDs anschließend schwach "aufblitzend".
Die Whitelist kann eigentlich nicht falsch sein, da beim manuellen Start ja alles lief. LAN A und WLAN sind komplett offen.
 

jebu81

Neuer User
Mitglied seit
5 Jan 2005
Beiträge
178
Punkte für Reaktionen
0
Punkte
0
jebu81 schrieb:
Ich glaube das hat mir die Box zerschossen bzw. zum Recover-Fall gemacht.
Mittlerweile glaube ich das nicht nur sondern habe es gerade zum zweiten mal bewiesen.
Firewall automatisch starten, simple Whitelist (s.u., natürlich ohne x) und schon habe ich einen vorübergehenden Briefbeschwerer.

Code:
192.168.1x1.0/24
192.168.1x1.0/24
192.168.1x1.0/24 * * usb

192.168.1x2.10 00:14:BF:xx:xx:xx T20,T21,T22,T25,53,T80,T110,U123,T143,T443,T995,U1812-1813 eth1_FON-AP
 

danisahne

Aktives Mitglied
Mitglied seit
30 Jul 2005
Beiträge
1,493
Punkte für Reaktionen
0
Punkte
0
Ist es sofort nach Neustart ein "Briefbeschwerer" oder erst ein paar Minuten später.

Meinst du mit Briefbeschwerer, dass du die Box nicht mehr erreichen kannst oder dass du nicht mehr ins Internet kannst?
 

jebu81

Neuer User
Mitglied seit
5 Jan 2005
Beiträge
178
Punkte für Reaktionen
0
Punkte
0
Sofort nach Neustart geht gar nix mehr. Die Power-LED leuchtet durchgehend, die restlichen LED blinken mit bestimmt mehr als 10 s Abstand kurz auf.
Per Syslog meldet die Box sich überhaupt nicht. Telnet geht nicht. Ping habe ich nicht alle möglichen Adressen probiert, hatte es eilig das Teil wieder ans Laufen zu bringen.
 

danisahne

Aktives Mitglied
Mitglied seit
30 Jul 2005
Beiträge
1,493
Punkte für Reaktionen
0
Punkte
0
Und das hängt wirklich reproduzierbar von firewall-cgi ab?
 

jebu81

Neuer User
Mitglied seit
5 Jan 2005
Beiträge
178
Punkte für Reaktionen
0
Punkte
0
In zwei von zwei Fällen war die Box platt. Jedes mal habe ich den Starttyp der Firewall auf automatisch gesetzt, sonst keine Änderungen. Generell läuft alles stabil.

OpenVPN hab ich neu drin, aber auch schon als Add-on mit 0.2.5 gehabt. Starte ich zur Zeit aber noch von Hand. Sonst nur dropbear, callmonitor, dnsmasq, wol.

Ich habe für die 0.2.6 auch keinen eigenen Kernel wegen des ip_conntrack-Problems gebaut.
 

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
639
Punkte für Reaktionen
3
Punkte
18
Hier mal meine Erfahrungen mit iptables.
Vielleicht hilft es weiter.

Ich hatte nur firewall-cgi ausgewählt, konfiguriere iptables aber mithilfe eines Skriptes (das ich via debug.cfg nach /var/tmp schreibe) und nicht über's Webinterface.
Das hat bei 0.2.5 funktioniert und funktioniert mit 0.2.6 ebenfalls völlig problemlos.

Bei VoIP habe ich keinerlei Einschränkungen festgestellt.
Ich muss allerdings zugeben, dass ich keine Ahnung habe, was "ip_conntrack" ist (vermutlich Connection tracking). Jedenfalls habe ich außer firewall-cgi nichts ausgewählt.

HTH
 

jebu81

Neuer User
Mitglied seit
5 Jan 2005
Beiträge
178
Punkte für Reaktionen
0
Punkte
0
Ich konnte es natürlich nicht sein lassen, also habe ich die Box jetzt zum dritten mal zerlegt.
Die anderen beiden 0.2.6-Images hab ich unter Knoppix 5 gebaut, den dritten Versuch jetzt wieder unter Cygwin. Das Ergebnis bleibt gleich: Firewall automatisch starten lassen, Box danach platt. Ich habe diesmal nur die Whitelist mit meinen drei "sicheren" Netzen (je 192.168.1xx.0/24) gefüllt, sonst keine weiteren Beschränkungen wie Webif nur an LAN A usw.

Bin ich der einzige mit diesem Problem oder nur der einzige hier der versucht die Firewall vom Start weg zu laden?
 

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
639
Punkte für Reaktionen
3
Punkte
18
Wenn Du so massive Probleme damit hast, was spricht dann dagegen ein Firewallskript via debug.cfg nach /var/tmp zu schreiben und von dort aus zu starten ?
Oder brauchst Du zwingend p_conntrack?

Alternativ kann man die gewünschten Regeln natürlich direkt in die debug.cfg schreiben, was aber IMHO nicht ganz so flexibel ist.
 

jebu81

Neuer User
Mitglied seit
5 Jan 2005
Beiträge
178
Punkte für Reaktionen
0
Punkte
0
Da spricht generell nichts gegen und so habe ich es bisher bzw. jetzt auch gemacht. Also nicht über die debug.cfg, sondern nach /var/tmp/flash kopiert und dann nach dem Start eben manuell aufrufen. Das verrichtet so auch gut seinen Dienst.

Das eigentliche Problem ist aber ja, dass danisahne eben wegen der telefond-Probleme mit ip_conntrack in der Version 0.2.6 die iptables wohl als erstes bzw. vor den restlichen AVM-Diensten starten lässt. So lange das nur bei mir zu Problem führt kann man da ja mit leben. Gilt das allerdings generell für den ds-mod ist danisahne glaube ich nich ganz so glücklich mit seinem "workaround".
 

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
639
Punkte für Reaktionen
3
Punkte
18
Da hast Du natürlich Recht.

> und dann nach dem Start eben manuell aufrufen.
Damit meinst Du aber nicht, dass Du dich mit der Box verbinden musst, und das so richtig "manuell" erledigen musst, oder?
 

jebu81

Neuer User
Mitglied seit
5 Jan 2005
Beiträge
178
Punkte für Reaktionen
0
Punkte
0
maceis schrieb:
Damit meinst Du aber nicht, dass Du dich mit der Box verbinden musst, und das so richtig "manuell" erledigen musst, oder?
Ich fürchte schon :) Zu mehr hat es bis lang noch nicht gereicht.
 

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
639
Punkte für Reaktionen
3
Punkte
18
hallo,

hatte gar nicht gesehen, dass Du noch einmal geantwortet hast.
Also ich mach das so:
/var/flash/debug.cfg
Code:
### Firewall sript ###                         
cat > /var/tmp/firewally <<EOF                 
#!/bin/sh                                      
                                               
case \$1 in                                    
start)                                         
echo starting firewall                         
iptables -P INPUT DROP                         
iptables -P FORWARD DROP                       
iptables -P OUTPUT ACCEPT                      
                                               
iptables -A INPUT -i lo -j ACCEPT              
# usw. -> hier kommen meine iptables rules
;;                                                                              
                                                                                
stop)                                                                           
echo stopping firewall                                                          
iptables -P INPUT ACCEPT                                                        
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
;;                                                                   
                                                                                
*)                                                                              
echo "Usage: \$0 {start|stop}"                                                  
;;                                                                              
                                                                                
esac                                                                            
EOF                                                                             
chmod 755 /var/tmp/firewally                                                    
/var/tmp/firewally start
Damit wird
a) die Firewall mit den von mir vorkonfigurierten Regeln beim Booten gestartet
b) ein Skript unter /var/tmp erstellt, mit dem ich die Firewall manuel starten und stopen kann.
Das Ganze kann man natürlich beliebig erweitern und verfeinern.
 
P

ph0x

Guest
jebu81 schrieb:
Bin ich der einzige mit diesem Problem oder nur der einzige hier der versucht die Firewall vom Start weg zu laden?
Ich hab das Problem auch. Da ich aber ein Doppelposting vermeiden möchte, hier der Link zu meiner Problembeschreibung.


greetz ph0x
 

knox

Mitglied
Mitglied seit
20 Mai 2006
Beiträge
577
Punkte für Reaktionen
0
Punkte
0
tja, ich habe das selbe problem. bin aber in diesem thread wegen dem nicht passenden topic erst jetzt vorbei gekommen...
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,045
Beiträge
2,018,210
Mitglieder
349,336
Neuestes Mitglied
pmrdj