IPTABLES - Läuft es stabil, oder bringt es die Box noch immer zum Absturz?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
F

freddy4711

Neuer User
Mitglied seit
7 Jul 2007
Beiträge
155
Punkte für Reaktionen
0
Punkte
0
Hi...

Ich wollte eine IPTABLES-Firewall auf meinen Speedport bauen. Nun habe ich aber im WIKI gelesen, dass es Probleme mit IPTABLES gibt?

Sind diese behoben, oder bringt es die Box noch immer zum Absturz?


Gruß Andreas
 
Was hat dir denn die Suchfunktion zu dem Thema gesagt hier im Forum?
 
ich nutze iptables nicht, aber meine erinnerung (ohne Gewähr):

Probleme macht nicht iptables, sondern das contrack-modul, welches z.B. für nat benötigt wird.

Es gibt die Probleme nur in Verbindung mit dem 2.6-Kernel, was ja bei dir der Fall ist.
Ab fw *.*.67 scheint sich das zu geben, was der w701v nutzt weiß ich zur Zeit nicht.
(Akuelle 7170 und 7270 scheinen zu laufen, da .67-FW)
 
Hi...

ich habe vor, die freetz-stable-1.1 branch zu nutzen. Dort scheint die .67-FW verwendet zu werden.

Werde mich mal ans Bauen begeben und danach berichten, wie es sich dann verhält...zwecks reboot, etc...

Gruß Adreas
 
hallo freddy

Ich kann nur für die 7270 berichten, habe ip-tables mit conntrack seit Weihnachten stabil im Einsatz.

conntrack hat nicht unbedingt was mit nat zu tun.

es bedeutet connection tracking und dient dazu Verbindungen stateful aufbauen zu können. Braucht man eigendlich immer.

Beispiel:

Du machst eine ausgehende regel für tcp port 80 (http protokoll)

Der Verkehr wird von der Firewall von deinem zufälligen port, sagen wir mal 4711 zu google port 80 aufgebaut. nun Antwortet google über sein port 80 an deine Maschine port 4711 (vergessen wir mal kurz die natterei) und scheitert an deiner firewall (weil dein port 4711 natürlich geblockt ist).

hilft zauberspruch:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

conntrack schreibt sich dann deine Anfrage auf und weiss, dass du von google port 80 eine Antwort auf port 4711 erwartest und lässt das paket durch.

noch wilder wird es mit protokollen wie ftp, die über tcp eine verbindung aufbauen und dann den daten-verkehr über beliebige udp ports aushandeln / abwickeln auch dafür gibt es ein geeignetes conntrack modul, dass die ftp ports erkennt und sich um den rest kümmert. (gleiches gilt auch für diverse voip verbindungen, instant messenger etc.)

also ohne conntrack ist keine firewall vernünftig zu konfigurieren.

Aber es funktioniert ja mit der 7270 mit dem neuen kernel.

viele grüße

cando
 
Hallo Cando,
vielen Dank für diese verständliche Beschreibung von conntrack. War mit bisher nicht so recht verständlich, jetzt aber :D
Gruß, Dieter*
 
Hi,

ich ergänze mal:

wenn das Gerät nur ein reiner Server sein soll, kann man es auch ohne conntrack hinbekommen:

du definierst nur die INPUT regeln (z.B. TCP port 80, 443) auf die der Server reagieren soll. Und im OUTPUT kanal machst du eine default allow regel (Alles was rausgeht wird ertlaubt). Dann ist implizit der Rückkanal immer offen. Das funktioniert mit allen diensten, die keine dynamischen Ports brauchen.

Für den dynamischen part - es ist in der Regel das udp protokoll in den oberen ports - kann man auch eine regel definieren, die die alle aufmacht

dann ist es aber nicht mehr wirklich eine firewall, sondern ein schweizer käse ;)...

(entspricht in etwa der default config der fritzbox, die hat standardmässig alles rein und raus auf bis auf einige wenige windows ports offen und schützt nur das LAN segment über die fehlenden NAT Regeln / Port forwarding von aussen nach innen, damit NAT von innen nach aussen und zurück funktioniert ist conntrack im dsld nachgebaut).

Ausserdem hast du damit die ET's (nach hause telefonieren) noch nicht ausgesperrt. Mit conntrack kannst du den server authistischer gestalten, damit er nur auf Anfragen reagiert und kein Eigenleben entwickeln kann (mit default Regel: OUTPUT DENY).

In verbindung mit conntrack ist so viel eleganter und sicherer aufzusetzen...
 
Zuletzt bearbeitet:
servus...kann mal just for fun den iptables webif dialog hier zeigen?
überlege nämlich ob ich das mal teste...aber will zumindest mal sehen ob ich da ne chance habe was zu begreifen ,-)
 
matze1985 schrieb:
Ab fw *.*.67 scheint sich das zu geben, was der w701v nutzt weiß ich zur Zeit nicht.
(Akuelle 7170 und 7270 scheinen zu laufen, da .67-FW)
Zum Vergrößern anklicken....

Woher hast du diesen Wissenschaft? Kannst du bitte eine Hinweisung geben?

Related:
Does anyone know how the story about patching the 2.6.13 kernel with patches from 2.6.13-5 ended, see http://www.ip-phone-forum.de/showthread.php?t=159575&highlight=2.6.13.5?
That thread that started with the 2.6.13-5 patching possiblities has dwingled to a discussion on conntrack, so how the 2.6.13-5 patch worked out is still not clear to me. Did the patch affect the AVM closed source modules?
 
Also beim Kernel 2.6.19.2 (7270) gibts keine bekannten Probleme, selbst seit 2 Monat getestet, siehe Ticket 260. Das war auch schon mit der Firmware vor .67 so
 
@Darkyputz

webif, services, rules (siehe Anhang)
 

Anhänge

  • iptables_web_if.jpg
    iptables_web_if.jpg
    137.8 KB · Aufrufe: 54
  • iptables_rules_services.jpg
    iptables_rules_services.jpg
    111.4 KB · Aufrufe: 40
Könnte man auch als Screenshot im Wiki veröffentlichen, denke ich ;)
 
jo...das sollte echt in den trunk...
übersteuert oder ersetzt das jetzt dann die avm forwardings/firewall? oder iss das oben drauf noch dazu?(sorry falls böse noob frage)
 
Wieso willst du Screenshots in den Trunk packen? ;)
 
sorry..mein fehler..man sollte nicht @work telefonieren und hier tippen ;-)
meinte natürlich ins wiki... :-D
 
Hi,

IMHO gibt es noch kein Web-IF für die 7270. Ist auch nicht so tragisch, ich hab meine mit der Hand über ssh configuriert und getestet und dann alles nötige in die debug.cfg eingetragen. iptables ist ja auch von der syntax und den modulen recht mächtig, ich weiss nicht inwieweit man mit dem web-if das ganze einigermassen übersichtlich und komplett gestalten kann.

Zur 2. frage:

ich habe den dsld nicht ersetzt, d.h. ich habe 2 unabhängige kaskadierte firewalls im einsatz.

dsld sichert den dsl zugang und macht das NAT.

iptables kümert sich um alle interfaces der fritz box (interne ip's, die einzelnen ports, dmz segmente, schutz der fritzbox)

dafür hab ich dedizierte INPUT / OUTPUT chains, die der fritz nur ntp und dns nach aussen erlauben und alles andere protokollieren / blocken.

die FORWARD regeln regeln dann den eigendlichen verkehr zwischen LAN, WLAN, DMZ und WAN.

man muss halt immer daran denken, beide firewalls zu konfigrieren für alles was über dsl die box verlässt.

Der einzige schwachpunkt ist noch das loggen des traffics. ich bin dabei den ulogd einzubinden, in der hoffnung mal einen firewall log hinzubekommen, da mit dem avm_printk alle kernel meldungen ind nirvana versickern.

ich werde posten, wenns es was neues dazu gibt....
 
Hallo,

ich lese hier "dsld sichert den dsl zugang und macht das NAT", aber was ist mit einer Fritzbox 7170 hinter einem Kabelmodem?
Das ist ja kein DSL-Zugang, aber dennoch wird (soweit ich weiß) dsld verwendet.

Konkret: Kann ich die iptables auch auf einer 7170 hinter einem Kabelmodem sinnvoll verwenden (67er FW)?
 
Die konfiguration hab ich noch nicht probiert (ich habe kein vorgeschaltetes modem). Von der sache her ist die verbindung von box zum modem bereits ein IP segment. ich vermute mal, dass dann an der box transparent die öffentliche ip adresse vom provider anliegt und der dsld nur noch firewall / nat / port forwarding macht.

in diesem fall könnte mal den dsld eigendlich komplett durch iptables ersetzen, indem man die entsprechenden nat regeln / forwarding regeln von iptables benutzt.

man müsste mal mit ifconfig nachschauen, wie die interfaces in diesem fall konfiguriert sind und welche ip adressen anliegen und die entsprechenden NAT regeln setzen.

Was auch interessant wäre, ist wie man die dynamischen ip adressen vom provider in iptables geschickt verwurstet.


das nächste thema wäre dyndns / portweiterleitung für die freigabe interner ressourcen ins internet und die regeln dafür in iptables (MASQUERADE).

wenn man den dsld aber drin lässt, braucht man sich darüber eigendlich keine gedanken zu machen, der macht das ja schon alles selbst.

für die 7170 wäre es nur insofern interessant den dsld mal herauszuschmeissen, da die box relativ wenig platz für erweiterungen im speicher bietet.

ich bin mir auch nicht sicher, inwieweit die 7170 den selben kernel wie die 7270 hat und ob es da probleme mit dem conntrack gibt.

Aber da es für die 7170 sogar ein web-if für iptables gibt, gehe ich mal davon aus, dass es funktioniert.

was den sinn von iptables angeht: man kann damit halt wesentlich genauer den verkehr zur box und durch die box überwachen und steuern. wenn mann den internen switch (wie bei der 7270) auch noch aufspalten kann, kann man sich sogar eine richtige firewall mit dmz konfigurieren, mit virtuellen interfaces (virtual hosts / security zones, dmz, vlans...) sogar die funktionalität recht teurer firewall appliances nachbilden. der prozessor von der 7270 schaft das recht gut.

wie sinnvoll und performant das auf der 7170 funktioniert, kann ich nicht beurteilen.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 741 (Mitglieder: 30, Gäste: 711)

Neueste Beiträge

Statistik des Forums

Themen
244,872
Beiträge
2,219,912
Mitglieder
371,594
Neuestes Mitglied
AA-Idealbau
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück