[gelöst] Echte DMZ auf 7270 - [Paket dmz-0.0.4]

[rspring]

wahrscheinlich ist das auch falsch:

abc@linux-30lk:~/Desktop/freetz/freetz-trunk> svn revert dmz-0.0.5.patch
Überspringe »dmz-0.0.5.patch«

Wie erwähnt, bin ich auf der linux-Kommandozeile nicht so fit.

 

[Silent-Tears]

man svn
man patch
svn help
svn help revert

Sind die Manpages und Hilfen, die du gerade brauchst. Ansonsten halt doch neu auschecken und alles von vorne. Suchs dir aus.

 

[rspring]

naja, das ist ja mehr zu lesen als Herr der Ringe. Da kapituliere ich.

 

[Silent-Tears]

Dann halt nicht. Schlicht und ergreifend.

 

[Dunji]

Mach doch einen neuen Checkout, und danach den patch 0.0.5, das ist doch kein Aufwand....

 

[waenger]

Ich bekomme beim Integrieren des Patches den Fehler:

patch -p0 < dmz-0.0.5.patch
patching file make/Config.in
Hunk #1 FAILED at 82.
1out of 1 hunk FAILED --saving rejects to file make/Config.in.rej
patching file make/dmz/dmz.k
...

Wodran liegt es?

 

[sf3978]

Es liegt an einer geänderten "Config.in"-Datei. Mach den Eintrag in die "make/Config.in" manuell.

 

[AsiaTrip]

Hallo Dunji,

die Idee scheint ja echt nicht schlecht zu sein, ich weiss auch das der Beitrag schon über ein Jahr alt ist, aber irgendwie funktioniert es bei mir nicht, ich bin langsam am verzweifeln.

Ich habe ebenfalls eine 7270 "7270_v2_04.88freetz-1.2-stable", habe Kernel replace, den DMZ 0.0.5 patch installiert und die DMZ config meinen Wünschen angepasst.

export DMZ_BRIDGE_LAN_WLAN='yes'
export DMZ_DMZ_INTERFACE='eth1'
export DMZ_DMZ_PORTMASK='0x28'
export DMZ_ENABLED='no'
export DMZ_IP='10.1.1.1'
export DMZ_LAN_INTERFACE='eth0'
export DMZ_LAN_PORTMASK='0x27'
export DMZ_NETMASK='255.255.255.0'
export DMZ_PROTECT_INTERFACE1='wlan'
export DMZ_PROTECT_INTERFACE2='eth0'
export DMZ_USE_WAN='no'

hier mal der Output von ifconfig:
----------------------------------

adsl      
ath0      
cpmac0    
dsl       inet addr:10.200.1.1
eth0      
eth1      inet addr:10.1.1.1
guest     inet addr:192.168.179.1
lan       inet addr:10.200.1.1
lan:0     inet addr:169.254.1.1  
lo        inet addr:127.0.0.1
wifi0

cat /var/log/mod.log | grep DMZ

Gib leider nichts zurueck

1. Frage: Kann es sein das die rc.dmy nicht nach dem Reboot des Router gestartet wird ?

/etc/init.d/rc.dmz start
DMZ: Creating network interface eth1 for DMZ
Setting switch_mode to 'special' (6).
DMZ: Briding eth0 to wlan
bridge wlan does not exist!
DMZ: Loading iptables modules ip_tables iptable_filter ip_conntrack x_tables xt_state...
DMZ: ProtectBox called.
DMZ: Protecting Box at 10.200.1.1
DMZ: Protecting Box at 10.1.1.1
DMZ: Protecting Box at 192.168.179.1
DMZ: Protecting Box at 10.200.1.1
DMZ: Protecting Box at 169.254.1.1
DMZ: Restarting dsld to refresh forwards...

cpmaccfg gsmc
Devices: 2
WAN is port: (none)
Device 1: name=eth0, portmask=0x27
Device 2: name=eth1, portmask=0x28

Also eigentlich sollte doch alles ok sein, also Port 1-3 eth0 und Port 4 eth1. Leider kann ich einen Rechner der an Port 4 hängt nicht dazu bringen 10.1.1.1 anzupingen. Der Rechner hat die IP 10.1.1.10 und 10.1.1.1 als Gateway.

2. Frage: Was mache ich hier falsch ?

Der Rechner welcher an Port 1 hängt hat die IP 10.200.1.100 und macht nun folgendes:

ping 10.200.1.1 OK
ping 10.1.1.1 OK

3. Frage: Aber wieso funktioniert das, ich dachte 10.1.1.1 wird durch IPTABLES vom anderem Netz getrennt. Ist dem nicht so ?

Hier noch der Output von iptables -L -v -n

Chain INPUT (policy ACCEPT 959 packets, 159K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            10.200.1.1            state RELATED,ESTABLISHED
    0     0 DROP       all  --  eth1   *       0.0.0.0/0            10.200.1.1
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            10.1.1.1           state RELATED,ESTABLISHED
    0     0 DROP       all  --  eth1   *       0.0.0.0/0            10.1.1.1
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            192.168.179.1       state RELATED,ESTABLISHED
    0     0 DROP       all  --  eth1   *       0.0.0.0/0            192.168.179.1
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            10.200.1.1            state RELATED,ESTABLISHED
    0     0 DROP       all  --  eth1   *       0.0.0.0/0            10.200.1.1
    0     0 ACCEPT     all  --  eth1   *       0.0.0.0/0            169.254.1.1         state RELATED,ESTABLISHED
    0     0 DROP       all  --  eth1   *       0.0.0.0/0            169.254.1.1

Chain FORWARD (policy ACCEPT 2943 packets, 588K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  eth1   wlan    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 DROP       all  --  eth1   wlan    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 DROP       all  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1097 packets, 194K bytes)
 pkts bytes target     prot opt in     out     source               destination

Danke für Eure Hilfe.

AsiaTrip

 

[RalfFriedl]

Kannst Du die Ausgaben mal in CODE-Tags setzen? Das ist sehr unübersichtlich so.

Zum anderen blockierst Du alles von eth1 und wunderst Dich, dass keine Antwort kommt?

 

[AsiaTrip]

Danke Ralf, jedoch kann ich ja von dem einen Rechner aus den Ping machen, wieso geht es denn da ?

Habe mal den Beitrag verschoenert, sorry ging irgendwie verloren

 

[RalfFriedl]

Der andere Rechner hängt an einem anderen Port, da kommt das Paket nicht über eth1 herein.

Du hast eine Regel, die Pakete von eth1 kommend an 10.1.1.1 verwirft.

 

[AsiaTrip]

Danke Ralf, jedoch scheint dies nicht das einzige Problem zu sein. Ich habe nun alle Regeln entfernt und habe dann was ganz merkwuerdiges festgestellt, vielleicht weiss da einer Rat zu.

Hier mal meine verschiedenen Versuche und deren Ergebnis:

cpmaccfg ssms eth0 0x21 eth1 0x22 eth2 0x24 eth3 0x28
cpmaccfg ssm special
Setting switch_mode to 'special' (6).
ifconfig eth3 10.1.1.1 netmask 255.255.255.0 broadcast 10.1.1.255 up
eth0      
eth1      
eth3      
PING 10.1.1.10 (10.1.1.10): 56 data bytes
64 bytes from 10.1.1.10: seq=0 ttl=64 time=1009.975 ms
64 bytes from 10.1.1.10: seq=1 ttl=64 time=0.425 ms
64 bytes from 10.1.1.10: seq=2 ttl=64 time=0.703 ms

--- 10.1.1.10 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.425/337.034/1009.975 ms
ifconfig down

Dies funktioniert eth3 genommen.

cpmaccfg ssms eth0 0x23 eth1 0x24 eth2 0x28
cpmaccfg ssm special
Setting switch_mode to 'special' (6).
ifconfig eth2 10.1.1.1 netmask 255.255.255.0 broadcast 10.1.1.255 up
ping -c3 10.1.1.10
PING 10.1.1.10 (10.1.1.10): 56 data bytes
64 bytes from 10.1.1.10: seq=0 ttl=64 time=1010.883 ms
64 bytes from 10.1.1.10: seq=1 ttl=64 time=0.420 ms
64 bytes from 10.1.1.10: seq=2 ttl=64 time=0.403 ms

--- 10.1.1.10 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.403/337.235/1010.883 ms
ifconfig down
ifconfig: SIOCGIFFLAGS: No such device

Dies funktioniert eth2 genommen.

	cpmaccfg ssms eth0 0x23 eth1 0x2c
	cpmaccfg ssm special
	Setting switch_mode to 'special' (6).
	ifconfig eth1 10.1.1.1 netmask 255.255.255.0 broadcast 10.1.1.255 up
	ping -c3 10.1.1.10
	PING 10.1.1.10 (10.1.1.10): 56 data bytes

	--- 10.1.1.10 ping statistics ---
	3 packets transmitted, 0 packets received, 100% packet loss
	ifconfig down
	ifconfig: SIOCGIFFLAGS: No such device
	ifconfig: SIOCGIFFLAGS: No such device

Dies funktioniert nicht eth1 genommen.

	cpmaccfg ssms eth0 0x27 eth1 0x28
	cpmaccfg ssm special
	Setting switch_mode to 'special' (6).
	ifconfig eth1 10.1.1.1 netmask 255.255.255.0 broadcast 10.1.1.255 up
	ping -c3 10.1.1.10
	PING 10.1.1.10 (10.1.1.10): 56 data bytes

	--- 10.1.1.10 ping statistics ---
	3 packets transmitted, 0 packets received, 100% packet loss
	ifconfig down
	ifconfig: SIOCGIFFLAGS: No such device
	ifconfig: SIOCGIFFLAGS: No such device

Dies funktioniert nicht eth1 genommen.

cpmaccfg ssms eth0 0x27 eth3 0x28
cpmaccfg ssm special
Setting switch_mode to 'special' (6).
ifconfig eth3 10.1.1.1 netmask 255.255.255.0 broadcast 10.1.1.255 up
ping -c3 10.1.1.10
PING 10.1.1.10 (10.1.1.10): 56 data bytes
64 bytes from 10.1.1.10: seq=0 ttl=64 time=2019.619 ms
64 bytes from 10.1.1.10: seq=1 ttl=64 time=1000.599 ms
64 bytes from 10.1.1.10: seq=2 ttl=64 time=0.419 ms

--- 10.1.1.10 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.419/1006.879/2019.619 ms
ifconfig down
ifconfig: SIOCGIFFLAGS: No such device
ifconfig: SIOCGIFFLAGS: No such device

Dies funktioniert wieder der einzige Unterschied zu dem Beispiel hiervor ist das hier eth3 anstelle von eth1 genommen wurde.

Hat dazu jemand eine Eklaerung, oder scheint es sich hier bei um einen BUG zu handeln ?

EDIT: Habe den Anfangstext noch mal bearbeitet, das keine FW Regeln aktiv sind, so wie ich jetzt erst mal auch keine Module geladen habe, was man durch iptables -L erkennen kann:

iptables -L
iptables v1.4.1.1: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

 

[RalfFriedl]

Was bringt Dich zu der Annahme, dass es nicht an iptables liegt?
Entferne mal alle iptables Regeln und probiere es nochmal mit eth1.

 

[AsiaTrip]

Das habe ich doch gemacht, es sind keine Regeln aktiv, und das was ich eben geschrieben habe, ist nun das Ergebnisses aus einem weiteren Test ohne Regeln. Hatte den Beitrag oben auch schon bearbeitet, wahrscheinlich zeitgleich

 

[MaxMuster]

Zumindest bei einigen älteren Boxen war ein "regulärer" Eintrag für eth1 in der ar7.cfg enthalten. Damit könnte der multid oder dsld dir vielleicht "dazwischenfunken"?
Was ergibt denn ein "ifconfig eth1", vor und nach dem Ping? Was ist da eventuell anders, als z.B. bei "eth3" stattdessen?

Und: du bist sicher, dass iptables wirklich aus ist; auch, dass dieses DMZ-Paket nichts davon einschaltet? Zur Not wäre das der "ultimative Test" ;-)

for x in $(cat /proc/net/ip_tables_names); do
	echo "******* Begin Table $x *******************"
	iptables -L -n -v -t $x;
	echo "********* End Table $x *******************"
	echo
done

... nur um sicher zu gehen, nicht als Zweifel an deinen Fähigkeiten!

 

[AsiaTrip]

Zumindest bei einigen älteren Boxen war ein "regulärer" Eintrag für eth1 in der ar7.cfg enthalten.

Also in der ar7.cfg ist kein Eintrag fuer eth1, es gibt nur Eintraege fuer:

  ethinterface
                name = "eth0";
                name = "eth0:0";
                name = "wlan";
  brinterfaces
                name = "lan";
                name = "lan:0";
                name = "guest";
  dslinterface
                name = "dsl";
                name = "internet";

Was ergibt denn ein "ifconfig eth1", vor und nach dem Ping? Was ist da eventuell anders, als z.B. bei "eth3" stattdessen?

Also bei dem

cpmaccfg ssms eth0 0x27 eth1 0x28

bekomme ich das gleiche vor und nach dem Ping bei ifconfig eth1

eth1      Link encap:Ethernet  HWaddr AA:BB:CC:DD:EE:FF
          inet addr:10.1.1.1  Bcast:10.1.1.255  Mask:255.255.255.0
          UP BROADCAST ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:128
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

cpmaccfg ssms eth0 0x27 eth3 0x28

bekomme ich das gleiche vor und nach dem Ping bei ifconfig eth1

ifconfig: eth1: error fetching interface information: Device not found

Und: du bist sicher, dass iptables wirklich aus ist; auch, dass dieses DMZ-Paket nichts davon einschaltet? Zur Not wäre das der "ultimative Test" ;-)

for x in $(cat /proc/net/ip_tables_names); do
	echo "******* Begin Table $x *******************"
	iptables -L -n -v -t $x;
	echo "********* End Table $x *******************"
	echo
done

... nur um sicher zu gehen, nicht als Zweifel an deinen Fähigkeiten!

Ergibt

cat: can't open '/proc/net/ip_tables_names': No such file or directory

Also ich bin mir sicher das keines der Module geladen worden ist. Zur Zeit habe nutze ich auch nicht mehr das rc.DMZ script, wollte halt erst mal die Fehler finden.

 

[fRUTTiFrESH]

Sers,

hat jemand den 0.0.4´er Patch mit der 1.2´er stable oder dem trunk zum laufen bekomen?

Ich erhalte lediglich:

patch -p0 < dmz-0.0.4.patch
patching file make/Config.in
Hunk #1 FAILED at 83.
1 out of 1 hunk FAILED -- saving rejects to file make/Config.in.rej
patching file make/dmz/dmz.mk
patching file make/dmz/files/root/etc/init.d/rc.dmz
patching file make/dmz/files/root/etc/default.dmz/dmz.cfg
patching file make/dmz/Makefile.in
patching file make/dmz/Config.in
patch: **** malformed patch at line 316:

Die 0.0.5 liefert folgendes:

dmz-0.0.5.patch
patching file make/Config.in
Hunk #1 FAILED at 82.
1 out of 1 hunk FAILED -- saving rejects to file make/Config.in.rej
patching file make/dmz/dmz.mk
patching file make/dmz/files/root/etc/init.d/rc.dmz
patching file make/dmz/files/root/etc/default.dmz/dmz.cfg
patching file make/dmz/Makefile.in
patching file make/dmz/Config.in

@sf3978

Wie und was manuell in die "make/Config.in" eintragen?

Gruß Frutti

 

[olistudent]

Du schaust dir die Patch Datei mit einem Editor an und fügst die Zeile mit dem "+" Prefix (ohne das Plus) an der Stelle in die make/Config.in ein.

Gruß
Oliver

 

[fRUTTiFrESH]

Danke olistudent,

das habe ich hin bekommen... kann man folgende Meldungen ignorieren?
(freetz-stable 1.2)

freetz@freetz-linux:~/freetz-stable-1.2$ make
make/dmz/dmz.mk:13: Warnung: Die Befehle für das Ziel »dmz-clean-echo-item« werden überschrieben
make/dmz/dmz.mk:1: Warnung: Alte Befehle für das Ziel »dmz-clean-echo-item« werden ignoriert
make/dmz/dmz.mk:16: Warnung: Die Befehle für das Ziel »DMZ_SOURCE_DIR« werden überschrieben
make/dmz/dmz.mk:4: Warnung: Alte Befehle für das Ziel »DMZ_SOURCE_DIR« werden ignoriert
make/dmz/dmz.mk:16: Warnung: Die Befehle für das Ziel »DMZ_FREETZ_CHANGES_CHECK« werden überschrieben
make/dmz/dmz.mk:4: Warnung: Alte Befehle für das Ziel »DMZ_FREETZ_CHANGES_CHECK« werden ignoriert
make/dmz/dmz.mk:16: Warnung: Die Befehle für das Ziel »source/target-mipsel_uClibc-0.9.29/dmz-0.0.4/.unpacked« werden überschrieben
make/dmz/dmz.mk:4: Warnung: Alte Befehle für das Ziel »source/target-mipsel_uClibc-0.9.29/dmz-0.0.4/.unpacked« werden ignoriert
make/dmz/dmz.mk:16: Warnung: Die Befehle für das Ziel »packages/target-mipsel_uClibc-0.9.29/.dmz-0.0.4« werden überschrieben
make/dmz/dmz.mk:4: Warnung: Alte Befehle für das Ziel »packages/target-mipsel_uClibc-0.9.29/.dmz-0.0.4« werden ignoriert
make/dmz/dmz.mk:24: Warnung: Die Befehle für das Ziel »dmz-list« werden überschrieben
make/dmz/dmz.mk:12: Warnung: Alte Befehle für das Ziel »dmz-list« werden ignoriert
make/dmz/dmz.mk:24: Warnung: Die Befehle für das Ziel »dmz-dirclean--int« werden überschrieben
make/dmz/dmz.mk:12: Warnung: Alte Befehle für das Ziel »dmz-dirclean--int« werden ignoriert
make/dmz/dmz.mk:24: Warnung: Die Befehle für das Ziel »dmz-precompiled« werden überschrieben
make/dmz/dmz.mk:12: Warnung: Alte Befehle für das Ziel »dmz-precompiled« werden ignoriert
make/dmz/dmz.mk:24: Warnung: Die Befehle für das Ziel »source/target-mipsel_uClibc-0.9.29/dmz-0.0.4/.build-prereq-checked« werden überschrieben
make/dmz/dmz.mk:12: Warnung: Alte Befehle für das Ziel »source/target-mipsel_uClibc-0.9.29/dmz-0.0.4/.build-prereq-checked« werden ignoriert
make/dmz/dmz.mk:24: Warnung: Die Befehle für das Ziel »dmz-clean-not-included--int« werden überschrieben
make/dmz/dmz.mk:12: Warnung: Alte Befehle für das Ziel »dmz-clean-not-included--int« werden ignoriert

Oder ist dieses Paket mit einer älteren Freetz Version zu benutzen?
Die Trunk geht nach der Modifikation überhaupt nicht mehr

 

[olistudent]

Du hast den Patch mehrfach angewendet. Daher stehen manche Zeilen jetzt mehrmals in make/dmz/dmz.mk.

Ich würde empfehlen, dass du erst nochmal alles löscht (rm -rf make/dmz), dann den Patch nochmal einspielst und nochmals die make/Config.in editierst.

Gruß
Oliver