.titleBar { margin-bottom: 5px!important; }

IPTABLES - Läuft es stabil, oder bringt es die Box noch immer zum Absturz?

Dieses Thema im Forum "Freetz" wurde erstellt von freddy4711, 20 Jan. 2009.

  1. freddy4711

    freddy4711 Neuer User

    Registriert seit:
    7 Juli 2007
    Beiträge:
    155
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    Ort:
    Karlsruhe
    Hi...

    Ich wollte eine IPTABLES-Firewall auf meinen Speedport bauen. Nun habe ich aber im WIKI gelesen, dass es Probleme mit IPTABLES gibt?

    Sind diese behoben, oder bringt es die Box noch immer zum Absturz?


    Gruß Andreas
     
  2. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Was hat dir denn die Suchfunktion zu dem Thema gesagt hier im Forum?
     
  3. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ich nutze iptables nicht, aber meine erinnerung (ohne Gewähr):

    Probleme macht nicht iptables, sondern das contrack-modul, welches z.B. für nat benötigt wird.

    Es gibt die Probleme nur in Verbindung mit dem 2.6-Kernel, was ja bei dir der Fall ist.
    Ab fw *.*.67 scheint sich das zu geben, was der w701v nutzt weiß ich zur Zeit nicht.
    (Akuelle 7170 und 7270 scheinen zu laufen, da .67-FW)
     
  4. freddy4711

    freddy4711 Neuer User

    Registriert seit:
    7 Juli 2007
    Beiträge:
    155
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Student
    Ort:
    Karlsruhe
    Hi...

    ich habe vor, die freetz-stable-1.1 branch zu nutzen. Dort scheint die .67-FW verwendet zu werden.

    Werde mich mal ans Bauen begeben und danach berichten, wie es sich dann verhält...zwecks reboot, etc...

    Gruß Adreas
     
  5. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hallo freddy

    Ich kann nur für die 7270 berichten, habe ip-tables mit conntrack seit Weihnachten stabil im Einsatz.

    conntrack hat nicht unbedingt was mit nat zu tun.

    es bedeutet connection tracking und dient dazu Verbindungen stateful aufbauen zu können. Braucht man eigendlich immer.

    Beispiel:

    Du machst eine ausgehende regel für tcp port 80 (http protokoll)

    Der Verkehr wird von der Firewall von deinem zufälligen port, sagen wir mal 4711 zu google port 80 aufgebaut. nun Antwortet google über sein port 80 an deine Maschine port 4711 (vergessen wir mal kurz die natterei) und scheitert an deiner firewall (weil dein port 4711 natürlich geblockt ist).

    hilft zauberspruch:

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    conntrack schreibt sich dann deine Anfrage auf und weiss, dass du von google port 80 eine Antwort auf port 4711 erwartest und lässt das paket durch.

    noch wilder wird es mit protokollen wie ftp, die über tcp eine verbindung aufbauen und dann den daten-verkehr über beliebige udp ports aushandeln / abwickeln auch dafür gibt es ein geeignetes conntrack modul, dass die ftp ports erkennt und sich um den rest kümmert. (gleiches gilt auch für diverse voip verbindungen, instant messenger etc.)

    also ohne conntrack ist keine firewall vernünftig zu konfigurieren.

    Aber es funktioniert ja mit der 7270 mit dem neuen kernel.

    viele grüße

    cando
     
  6. DG279

    DG279 Mitglied

    Registriert seit:
    17 Feb. 2006
    Beiträge:
    357
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Bremen
    Hallo Cando,
    vielen Dank für diese verständliche Beschreibung von conntrack. War mit bisher nicht so recht verständlich, jetzt aber :D
    Gruß, Dieter*
     
  7. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #7 cando, 23 Jan. 2009
    Zuletzt bearbeitet: 23 Jan. 2009
    Hi,

    ich ergänze mal:

    wenn das Gerät nur ein reiner Server sein soll, kann man es auch ohne conntrack hinbekommen:

    du definierst nur die INPUT regeln (z.B. TCP port 80, 443) auf die der Server reagieren soll. Und im OUTPUT kanal machst du eine default allow regel (Alles was rausgeht wird ertlaubt). Dann ist implizit der Rückkanal immer offen. Das funktioniert mit allen diensten, die keine dynamischen Ports brauchen.

    Für den dynamischen part - es ist in der Regel das udp protokoll in den oberen ports - kann man auch eine regel definieren, die die alle aufmacht

    dann ist es aber nicht mehr wirklich eine firewall, sondern ein schweizer käse ;)...

    (entspricht in etwa der default config der fritzbox, die hat standardmässig alles rein und raus auf bis auf einige wenige windows ports offen und schützt nur das LAN segment über die fehlenden NAT Regeln / Port forwarding von aussen nach innen, damit NAT von innen nach aussen und zurück funktioniert ist conntrack im dsld nachgebaut).

    Ausserdem hast du damit die ET's (nach hause telefonieren) noch nicht ausgesperrt. Mit conntrack kannst du den server authistischer gestalten, damit er nur auf Anfragen reagiert und kein Eigenleben entwickeln kann (mit default Regel: OUTPUT DENY).

    In verbindung mit conntrack ist so viel eleganter und sicherer aufzusetzen...
     
  8. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    servus...kann mal just for fun den iptables webif dialog hier zeigen?
    überlege nämlich ob ich das mal teste...aber will zumindest mal sehen ob ich da ne chance habe was zu begreifen ,-)
     
  9. poruid

    poruid Neuer User

    Registriert seit:
    5 Aug. 2007
    Beiträge:
    95
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Zunderdorp
    Woher hast du diesen Wissenschaft? Kannst du bitte eine Hinweisung geben?

    Related:
    Does anyone know how the story about patching the 2.6.13 kernel with patches from 2.6.13-5 ended, see http://www.ip-phone-forum.de/showthread.php?t=159575&highlight=2.6.13.5?
    That thread that started with the 2.6.13-5 patching possiblities has dwingled to a discussion on conntrack, so how the 2.6.13-5 patch worked out is still not clear to me. Did the patch affect the AVM closed source modules?
     
  10. cuma

    cuma Aktives Mitglied

    Registriert seit:
    16 Dez. 2006
    Beiträge:
    2,735
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also beim Kernel 2.6.19.2 (7270) gibts keine bekannten Probleme, selbst seit 2 Monat getestet, siehe Ticket 260. Das war auch schon mit der Firmware vor .67 so
     
  11. sf3978

    sf3978 IPPF-Promi

    Registriert seit:
    2 Dez. 2007
    Beiträge:
    7,629
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    @Darkyputz

    webif, services, rules (siehe Anhang)
     

    Anhänge:

  12. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Könnte man auch als Screenshot im Wiki veröffentlichen, denke ich ;)
     
  13. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    jo...das sollte echt in den trunk...
    übersteuert oder ersetzt das jetzt dann die avm forwardings/firewall? oder iss das oben drauf noch dazu?(sorry falls böse noob frage)
     
  14. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Wieso willst du Screenshots in den Trunk packen? ;)
     
  15. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    sorry..mein fehler..man sollte nicht @work telefonieren und hier tippen ;-)
    meinte natürlich ins wiki... :-D
     
  16. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    IMHO gibt es noch kein Web-IF für die 7270. Ist auch nicht so tragisch, ich hab meine mit der Hand über ssh configuriert und getestet und dann alles nötige in die debug.cfg eingetragen. iptables ist ja auch von der syntax und den modulen recht mächtig, ich weiss nicht inwieweit man mit dem web-if das ganze einigermassen übersichtlich und komplett gestalten kann.

    Zur 2. frage:

    ich habe den dsld nicht ersetzt, d.h. ich habe 2 unabhängige kaskadierte firewalls im einsatz.

    dsld sichert den dsl zugang und macht das NAT.

    iptables kümert sich um alle interfaces der fritz box (interne ip's, die einzelnen ports, dmz segmente, schutz der fritzbox)

    dafür hab ich dedizierte INPUT / OUTPUT chains, die der fritz nur ntp und dns nach aussen erlauben und alles andere protokollieren / blocken.

    die FORWARD regeln regeln dann den eigendlichen verkehr zwischen LAN, WLAN, DMZ und WAN.

    man muss halt immer daran denken, beide firewalls zu konfigrieren für alles was über dsl die box verlässt.

    Der einzige schwachpunkt ist noch das loggen des traffics. ich bin dabei den ulogd einzubinden, in der hoffnung mal einen firewall log hinzubekommen, da mit dem avm_printk alle kernel meldungen ind nirvana versickern.

    ich werde posten, wenns es was neues dazu gibt....
     
  17. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich lese hier "dsld sichert den dsl zugang und macht das NAT", aber was ist mit einer Fritzbox 7170 hinter einem Kabelmodem?
    Das ist ja kein DSL-Zugang, aber dennoch wird (soweit ich weiß) dsld verwendet.

    Konkret: Kann ich die iptables auch auf einer 7170 hinter einem Kabelmodem sinnvoll verwenden (67er FW)?
     
  18. cando

    cando Aktives Mitglied

    Registriert seit:
    28 Nov. 2008
    Beiträge:
    1,080
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #18 cando, 24 Jan. 2009
    Zuletzt bearbeitet: 24 Jan. 2009
    Die konfiguration hab ich noch nicht probiert (ich habe kein vorgeschaltetes modem). Von der sache her ist die verbindung von box zum modem bereits ein IP segment. ich vermute mal, dass dann an der box transparent die öffentliche ip adresse vom provider anliegt und der dsld nur noch firewall / nat / port forwarding macht.

    in diesem fall könnte mal den dsld eigendlich komplett durch iptables ersetzen, indem man die entsprechenden nat regeln / forwarding regeln von iptables benutzt.

    man müsste mal mit ifconfig nachschauen, wie die interfaces in diesem fall konfiguriert sind und welche ip adressen anliegen und die entsprechenden NAT regeln setzen.

    Was auch interessant wäre, ist wie man die dynamischen ip adressen vom provider in iptables geschickt verwurstet.


    das nächste thema wäre dyndns / portweiterleitung für die freigabe interner ressourcen ins internet und die regeln dafür in iptables (MASQUERADE).

    wenn man den dsld aber drin lässt, braucht man sich darüber eigendlich keine gedanken zu machen, der macht das ja schon alles selbst.

    für die 7170 wäre es nur insofern interessant den dsld mal herauszuschmeissen, da die box relativ wenig platz für erweiterungen im speicher bietet.

    ich bin mir auch nicht sicher, inwieweit die 7170 den selben kernel wie die 7270 hat und ob es da probleme mit dem conntrack gibt.

    Aber da es für die 7170 sogar ein web-if für iptables gibt, gehe ich mal davon aus, dass es funktioniert.

    was den sinn von iptables angeht: man kann damit halt wesentlich genauer den verkehr zur box und durch die box überwachen und steuern. wenn mann den internen switch (wie bei der 7270) auch noch aufspalten kann, kann man sich sogar eine richtige firewall mit dmz konfigurieren, mit virtuellen interfaces (virtual hosts / security zones, dmz, vlans...) sogar die funktionalität recht teurer firewall appliances nachbilden. der prozessor von der 7270 schaft das recht gut.

    wie sinnvoll und performant das auf der 7170 funktioniert, kann ich nicht beurteilen.