IP-Tables inkl. cgi für 7270

[Papi-2006]

Hallo,

ich versuch mir gerade die iptables auf meine 7270 zu installieren. Auf einer fonwlan funktioniert das mit webinterface auch recht gut. Über die Forensuche habe ich rausgelesen, dass die module für iptables für ne andere kernelversion kompilier wurden als den der auf der 7270 läuft. Gibt es aktuell jemanden der daran arbeitet? Falls nicht wäre ich für ein paar Tipps was zu tun ist dankbar und würd mich mal selbst dran versuchen. Hab bis jetzt in die Richtung noch nix gemacht aber Versuch macht kluch ;-)

Gruß

Tobias

 

[Whoopie]

Hi,

dann versuch Dich mal an diesem Ticket: http://www.freetz.org/ticket/183

Gruß,
Whoopie

 

[Papi-2006]

Hhmm da steht das drin was ich schon weiß. Was ich nicht weiß ist wie man das lösen kann.

- müssen die module neu kompiliert werden (glaub ich nicht die kann man ja trotzdem auswählen)
- einige fehlen glaub ich (z. B. xt_multiport wäre mir wichtig)
- kann ich das über replace kernel richten (ist im moment ja nicht verfügbar bei 7270 wahrscheinlich wegen fehlender avm sourcen)
- oder ist es was ganz banales wie umbenennen oder verweise einrichten

Ich brauch nur einen Tritt in die richtige Richtung und was alles notwendig ist dann wurstel ich mich rein.

 

[schmatke]

Hmm, also bei mir läuft iptables super auf meiner 7270.
Nur auf das webif musst Du eben verzichten.

xt_multiport ist auch dabei.

-rwxr-xr-x    1 root     root         4.7k Jun  6 18:39 xt_multiport.ko

 

[Papi-2006]

Welche Module hast du ausgewählt? Die empfohlenen oder alle?

 

[schmatke]

Alle, wie hier irgendwo jemand empfolen hat. Hatte vorher Probleme meine Sachen zum Laufen zu bekommen. Platz genug hat die 7270 ja, zumindest die 16MB-Boxen.

 

[Papi-2006]

Weißte die noch oder soll ich mir die zusammen googlen? Die musthave waren ja nicht so viele. Multiport wäre mir noch wichtig das andere muß ich mir erst mal ankucken. Wegen cgi wäre dann doch "nur" die verweise umzubenennen oder? Haste Probleme mit conntrack und reboots?

 

[Grisu-2008]

Hallo an alle,

ich habe bei mir auf meiner 7270 ebenfalls IP-Tables mit ins Image genommen, jedoch auch noch einige Probleme damit.
Ich möchte folgende Regel einfügen:

iptables -A FORWARD  -s 192.168.178.0/24 -d 192.168.112.0/24 -p all    -o tap0 -j DROP

Ich bekomme von iptables zunächst einmal folgenden Fehler:

iptables v1.4.1.1: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Diesen konnte ich durch die Hilfe im Forum mit modprobe iptable_filter abstellen. Will ich nun jedoch die Regel einfügen, meldet IP-Tables ein weiteres Problem.

iptables v1.4.1.1: Couldn't load target `standard':File not found

Auf diesen Fehler weiß ich leider keine Lösung.
Kann es sein dass man die einzelnen Module nach einem Neustart wieder alle von Hand laden muss? Wenn ja welche Module werden benötigt? Ich habe beim Kompilieren mal alle ausgewählt...

Gruß
Grisu

 

[Papi-2006]

Die benötigten module kannst auch in die debug.cfg reinpacken dann werden die beim booten automatisch mit geladen.

 

[sf3978]

Die benötigten module kannst auch in die debug.cfg reinpacken ...

Oder im Freetz-WEB-IF, nach "Freetz:modules" (wenn die 7270 so etwas hat):

iptable_mangle
ipt_REJECT
ipt_limit
ipt_length
ipt_iprange
ipt_MARK
ip_conntrack_proto_sctp
ip_nat_ftp
ipt_TCPMSS
ipt_tcpmss
ipt_TOS
ipt_tos
ipt_connmark
ipt_layer7
ipt_mark
ipt_ttl
ipt_helper
ipt_ipp2p

EDIT:

Kann es sein dass man die einzelnen Module nach einem Neustart wieder alle von Hand laden muss? Wenn ja welche Module werden benötigt? Ich habe beim Kompilieren mal alle ausgewählt...

Poste mal die Ausgaben von:
"lsmod" und "iptables -L -n -v"

EDIT 2:

Weißte die noch oder soll ich mir die zusammen googlen? Die musthave waren ja nicht so viele. Multiport wäre mir noch wichtig das andere muß ich mir erst mal ankucken

Multiport geht anscheinend noch nicht auf er 7270. Siehe hier.

 

[Grisu-2008]

ich habe nun die oben gepostete Liste im Webinterface unter freetz:modules eingepflegt, erhalte aber beim Neustart folgende Logmeldungen

Loading /var/flash/freetz...done.
Loading users, groups and passwords...done.
Loading hosts...(none)
done.
Loading config...done.
Loading modules...modprobe: module ipt_limit not found
modprobe: failed to load module ipt_limit: No such file or directory
modprobe: module ipt_length not found
modprobe: failed to load module ipt_length: No such file or directory
modprobe: module ipt_MARK not found
modprobe: failed to load module ipt_MARK: No such file or directory
modprobe: module ip_conntrack_proto_sctp not found
modprobe: failed to load module ip_conntrack_proto_sctp: No such file or directory
modprobe: module ipt_tcpmss not found
modprobe: failed to load module ipt_tcpmss: No such file or directory
modprobe: module ipt_connmark not found
modprobe: failed to load module ipt_connmark: No such file or directory
modprobe: module ipt_mark not found
modprobe: failed to load module ipt_mark: No such file or directory
modprobe: module ipt_helper not found
modprobe: failed to load module ipt_helper: No such file or directory
done.

lsmod sagt folgendes:

Module                  Size  Used by    Tainted: P
rtc_sysfs               2704  0
rtc_proc                3847  0
rtc_dev                 5493  1
sch_sfq                 5619  4
sch_llq                 9102  1
sch_tbf                 5664  1
userman                33682  2
wlan_scan_ap            8449  1
wlan_acl                4090  1
wlan_wep                6046  0
wlan_tkip              12421  0
wlan_ccmp               8424  3
wlan_xauth              1182  0
ath_pci               151709  0
ath_rate_atheros       59203  1 ath_pci
wlan                  227770  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
ath_dfs                39236  2 ath_pci,wlan
ath_hal               237370  4 ath_pci,ath_rate_atheros,ath_dfs
avm_ath_extensions     53332  4 ath_pci,ath_rate_atheros,wlan,ath_hal
usblp                  13578  1
kdsldmod              867132  7 userman
musb_hdrc              37281  0
usbcore               125996  4 usblp,musb_hdrc
dect_io                21126  2
avm_dect              388083  1 dect_io
capi_codec            142935  0
isdn_fbox_fon5        761042  0
pcmlink               249602  3 avm_dect,capi_codec,isdn_fbox_fon5
rtc_avm                 6573  2 pcmlink
rtc_core                7083  4 rtc_sysfs,rtc_proc,rtc_dev,rtc_avm
rtc_lib                 2712  3 rtc_sysfs,rtc_avm,rtc_core
dsl_ur8               170609  0
jffs2                 115345  1
Piglet_noemif          36490  0
led_modul_Fritz_Box_7270    63132  7 ath_hal
ipt_ipp2p               9219  0
ipt_ttl                 1519  0
ipt_layer7             12892  0
ipt_tos                 1231  0
ipt_TOS                 1700  0
ipt_TCPMSS              3490  0
ip_nat_ftp              3110  0
ip_nat                 15833  1 ip_nat_ftp
ip_conntrack_ftp        6519  1 ip_nat_ftp
ip_conntrack           46260  4 ipt_layer7,ip_nat_ftp,ip_nat,ip_conntrack_ftp
ipt_iprange             1494  0
ipt_REJECT              3581  0
iptable_mangle          2104  0
ip_tables              11822  1 iptable_mangle
x_tables               13427  9 ipt_ipp2p,ipt_ttl,ipt_layer7,ipt_tos,ipt_TOS,ipt_TCPMSS,ipt_iprange,ipt_REJECT,ip_tables

und iptables -L -n -v

Chain INPUT (policy ACCEPT 637 packets, 82604 bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain FORWARD (policy ACCEPT 706 packets, 324K bytes)
 pkts bytes target     prot opt in     out     source               destination 

Chain OUTPUT (policy ACCEPT 667 packets, 130K bytes)
 pkts bytes target     prot opt in     out     source               destination

 

[sf3978]

Wenn Du beim Erstellen des Freetz-Images alles (betr. iptables) aktiviert hast und die Module nicht geladen werden können, dann gibt es diese Module für die 7270 noch nicht. D. h. Du musst den Eintrag für diese Module:

ipt_length
ipt_limit
ipt_MARK
ip_conntrack_proto_sctp
ipt_tcpmss
ipt_connmark
ipt_mark
ipt_helper

entfernen.

Mit find kannst Du auch nach den Modulen suchen:

/var/tmp/flash/mod # find / -iname 'ipt_limit'
/sys/module/ipt_limit

 

[schmatke]

Weißte die noch oder soll ich mir die zusammen googlen? ... Haste Probleme mit conntrack und reboots?

Wieso zusammen googlen? Einfach unter unstable alle wählen.

reboots hatte ich nur mit der 7170, das Problem wird hier an einigen Stellen im Forum geschildert und erötert. Die 7270 läuft seit über einen halben Jahr stabil.

 

[Grisu-2008]

vielen Dank für die Hilfe. Mein Problem lag wohl an einer Library. Habe nun nochmal ein Image mit allen Libraries kompliliert und iptables scheint nun zu laufen.

Habe nun versucht mein VPN, das ich zusammen mit einem Freund betreibe) zu schützen habe ich folgende Regeln aktiviert:

iptables -A INPUT  -s NETZ1 -d IpFritzboxNETZ2 -p tcp -m multiport  --dport 81 -i tap0  -j ACCEPT

iptables -A INPUT  -s NETZ1 -d NETZ2 -p all   -i tap0  -j DROP

iptables -A FORWARD -s NETZ1 -d IpGerät1NETZ2 -p tcp -m multiport --dport 80 -i tap0  -j ACCEPT

iptables -A FORWARD -s NETZ1 -d NETZ2 -p all   -i tap0  -j DROP

NETZ 1 ist das Netz meines Kollegen und NETZ 2 ist mein Netz. Er soll nur auf Port 81 der Fritzbox und auf Port 80 eines Geräte zugreifen können.

Diese Regeln funktionieren auch, wenn ich diese nur bei mir eingebe. Alles außer die erwähnten Ausnahmen sind geblockt.
Nimmt mein Kollege jetzt aber die gleichen Regeln und vertauscht NETZ1 mit Netz2, so ist sein Netz ebenfalls abgesichtert, nur die Accept-Regeln scheinen irgendwie nicht mehr zu greifen. Ein Zugriff ist nicht möglich.
Muss man bei den Iptables-Regeln noch was beachten? Kann es sein dass irgendeine Regel noch fehlt?

 

[sf3978]

iptables -A INPUT  -s NETZ1 -d IpFritzboxNETZ2 -p tcp -m multiport  --dport 81 -i tap0  -j ACCEPT

iptables -A INPUT  -s NETZ1 -d NETZ2 -p all   -i tap0  -j DROP

iptables -A FORWARD -s NETZ1 -d IpGerät1NETZ2 -p tcp -m multiport --dport 80 -i tap0  -j ACCEPT

iptables -A FORWARD -s NETZ1 -d NETZ2 -p all   -i tap0  -j DROP

(-Warum hast Du multiport in einer Regel mit nur einem Port?)
-Wie ist die Default Policy der INPUT und FORWARD chain, bei beiden Boxen?
-Wie ist die Ausgabe von "iptables -L -n -v"?

 

[Grisu-2008]

ich kenne nur die Version mit multiport. Wie würde das ganze für einen einzelnen Port lauten?
Die deault policy für Input und Forward heißt ACCEPT.
Unter iptables -L -n - v kommt folgendes heraus:

/var/mod/root # iptables -L -n -v
Chain INPUT (policy ACCEPT 13301 packets, 2115K bytes)
 pkts bytes target     prot opt in     out     source               destination                                                               
   19  1820 ACCEPT     tcp  --  tap0   *       NETZ1                IpFritzboxNETZ2           multiport dports 81
    0     0 DROP       all  --  tap0   *       NETZ1                NETZ2

Chain FORWARD (policy ACCEPT 38574 packets, 12M bytes)
 pkts bytes target     prot opt in     out     source               destination                                                               
   14  1584 ACCEPT     tcp  --  tap0   *       NETZ1                IpGerät1NETZ2   multiport dports 80
    0     0 DROP       all  --  tap0   *       NETZ1                NETZ2

Es sieht daher eigentlich ganz gut aus.Das Komische ist, dass die Regeln auch einwandfrei greifen wenn nur ich diese anwende, sobald mein Kumpel dies aber auch tut, ist alles geblockt. Die erfolgreich vermitteltenden Pakete stammen aus einem Testversuch, als ich die Rules aktiviert hatte er aber nicht.

 

[sf3978]

Nimmt mein Kollege jetzt aber die gleichen Regeln und vertauscht NETZ1 mit Netz2, so ist sein Netz ebenfalls abgesichtert, nur die Accept-Regeln scheinen irgendwie nicht mehr zu greifen. Ein Zugriff ist nicht möglich.

Hat dein Kollege auch die IpFritzboxNETZ2 in IpFritzboxNETZ1 geändert?
Bei nur einem Port kannst Du "-m multiport" weg lassen.

 

[Grisu-2008]

Ja ich denke wir haben alles umgeändert, seine Regeln sehen wie folgt aus:

iptables -A INPUT  -s NETZ2 -d IpFritzboxNetz1 -p tcp -m multiport --dport 81 -i tap0  -j ACCEPT


iptables -A INPUT  -s NETZ2 -d NETZ1 -p all   -i tap0  -j DROP 


iptables -A FORWARD -s NETZ2 -d IpGerätNETZ1 -p tcp -m multiport --dport 80 -i tap0  -j ACCEPT


iptables -A FORWARD -s NETZ2 -d NETZ1 -p all   -i tap0  -j DROP

Was bewirkt eigentlich eine Outputregel? Kann sein, dass diese irgendwie noch mit eingefügt werden muss? Finde das Problem bisschen seltsam, da es erster geht und dann aufeinmal nicht.

 

[sf3978]

D. h. dein Kollege kann weiterhin auf deine Box zugreifen, nur Du nicht auf seine? In welcher Reihenfolge hat dein Kollege die iptables-Regeln eingetragen? Ich kenne OpenVPN nicht im detail. Muss da evtl. auf der Box deines Kollegen noch etwas frei gegeben werden, damit die Verbindung funktioniert?

Die OUTPUT chain ist für Verbindungen, die lokal von der Box ausgehen (nach außen). Die Default Policy wird dort auf ACCEPT sein. Da muss i. d. Fall, keine Regel eingegeben werden.

 

[Grisu-2008]

Nein, wenn mein Kollege die Regeln auch eingibt, hat er überhaupt kein Zugriff mehr, auch nicht auf die Accept-Regeln, diese werden quasi komplett ignoriert.
Wir haben auf beiden Seiten immer zuerst die Accept-Regeln eingefügt und dann die Drop-Regeln. Die Verbindung von OpenVPN funktioniert auch einwandfrei, nur die Einschränkung bzw. teilweise Erlaubnis mit IP-Tables ist noch das Problem.