GUI für iptables speichert Regeln nicht

[md2002]

Hallo,
ich hab ne 7170 mit aktuellem development freetz aus dem SVN (ich glaub build 2740).
Ich nutze die Box quasi als VPN Gateway von meinem Wohnheim-Netz/PC ins Internet (mittels vpnc). Dazu brauche ich ein paar Regeln, damit das NAT ordentlich klappt:

iptables -A FORWARD -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A FORWARD -i lan -j ACCEPT

Wenn ich die per Konsole (ssh) hinzugefügt habe, konnte ich die bei freetz-1.0 immer im Webinterface (beim Paket Iptables) speichern, damit die auch nach dem Neustart wieder da sind. Dies klappt jetzt nicht mehr:

Saving settings...done.
Saving iptables.cfg...done.

Modules are already loaded. Starting rule script...<br>
rule 
chain INPUT
position 
source 
destination 
proto tcp
sport 
dport 
interface -i tcp
action ACCEPT
nat None
<br>
iptables  INPUT    -p tcp   -i tcp -j ACCEPT 
Rule setting failed.

Writing /var/flash/freetz...done.
12800 bytes written.

Könnt ihr mir sagen, woran das liegt oder was ich falsch mache?
thx
md2002

 

[sf3978]

Was steht in der security-Datei? 0, 1 oder 2?

 

[cuma]

Ws bedeuted denn, dass du die Box "quasi" als VPN Gateway nutzt? Nutzt du sie dafür oder nicht. Und falls ja, hast du keine Probleme mit spontanen Reboots?

 

[md2002]

Hallo,
@sf3978:
Wo finde ich denn die security-Datei oder -Einstellungen?
Es liegt bestimmt daran, da er mir an einigen Stellen "Konfiguration in der aktuellen Sicherheitsstufe nicht verfügbar!" sagt.

@cuma:
Also ich nutze sie derzeit eigentlich nur dafür und zusätzlich für VoIP. Ich hab sie aber erst seit ein paar Tagen experimentell in Betrieb. Bisher habe ich von Reboots noch nichts mitbekommen, außer dass sich vpnc irgendwann beendet...

Grüße
md2002

 

[md2002]

Hallo,
ok, habs jetzt schon selbst gefunden, dass ich die Sicherheitsstufe z.B. mit

echo 0 > /var/tmp/flash/security

selbst setzen/erstellen muss.
Das Speichern der Regeln unter Pakete -> Iptables schlägt immernoch fehl (gleiche Meldung wie zuvor), aber unter Einstellungen -> Iptables: Rules konnte ich alles eintragen.

 

[rapt0r]

Da fehlen doch Source und Destination, das funktioniert so nicht mit iptables-cgi.
Das speichern erreichst du nur, wenn du eine beliebige nicht benötige aber korrekte Regel hinzufügst. Mit Übernehmen wird dann gespeichert. Anschliessend der Ordnung wegen, die beliebige nicht benötigte Regel wieder löschen, dann speichert er zum zweiten mal mit dem drücken des Übernehmen-Buttons.

Mehr als zum anschauen und speichern der Regeln dient mir das cgi bisher nicht.

 

[md2002]

Danke für den Tipp. Wie gesagt, bei Einstellungen -> Iptables: Rules konnte ich die Regeln alle eintragen und er hat irgendwann sogar selbstständig die Source/Destination IP-Maske hinzugefügt...

 

[rapt0r]

Ich hab viel Zeit damit verbracht, die cgi zu bedienen. Letztendlich habe ich aber die Befehle manuell eingegeben, da zum Beispiel bei meinem Trunk 2741 die Option "all" für Protokoll fehlt. Aber zum permanenten Speichern ist cgi gut. Drauf verzichten möcht ich nicht.