iptables und 1.1rc1

zander

Neuer User
Mitglied seit
2 Jan 2007
Beiträge
28
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich hätte mal gern ein Problem...

Also zuerst muß ich mal zugeben, dass mir der Versionsstand der einzelnen Zweige völlig unklar ist. Zum einen frage ich mich, ob der Development-Zweig mit der r3207 gleich dem Stable-Zweig 1.1 ist? Zum anderen frage ich mich ob da schon Änderungen eingeflossen sind, da stable 1.1 r3219 ist.

Des weiteren muß ich zugeben, dass ich immer sehr ungeduldig bin und daher immer den Dev-Zweig benutz habe, der bisher immer gut lief. Außer meinem eigentlichen Problem den iptables.

So nun aber endlich das Problem:
Ich würde gerne mittels iptables -A INPUT -s 192.168.178.110 -j DROP alle IP Pakete eines 'internen' hosts verwerfen können. Das lief zwar im Devel-Zweig, aber eben leider, wegen der bekannten Probleme, nicht gerade dauerhaft stabil.

Nun habe ich den stable 1.1-Zweig auf meiner Box. Dort geht o.g. Befehl leider nicht mehr, weil irgendwelche Module fehlen. Dafür läuft die Box jetzt echt stabil. Jetzt frage ich mich ob ich irgendwie zwei Wünsche auf einmal erfüllt bekomme ;-)

Sprich: Welche Module muß ich mit einbauen, damit iptables in der o.g. Form wieder funktioniert? Ich weiß, dass das Eigentlich Problem bei den iptables das conntrack modul ist. Aber ist das für meinen iptables Befehl notwendig?

Viele Grüße
Zander
 
Vermutlich hast Du eine der Boxen mit altem Kernel. Und da ist bekannt, daß iptables zumindest unter bestimmten Umständen nicht stabil läuft.
 
Hallo,

ich habe den Kernel schon von freetz genommen. Das sollte als eignetlich nicht das Problem sein. Ich frage mich nur welche module ich für iptables alle brauche.

Grüße
Zander
 
Das hat nichts mit Freetz oder dem Freetz Kernel zu tun. Die Kernel Version ist so alt, daß das iptables darin Probleme macht. Und Freetz muß die gleiche Kernel Version verwenden, sonst funktionieren die AVM-Module nicht.
 
Hallo,

achsooooo!!! Jetzt wird mir einiges klarer. Das muß ja aber auch mal gesagt werden. Dann werde ich gleich mal meine andere Fritzbox ausprobieren. Kann ich eignetlich irgendwie die Version abfragen? Sowas wie uname -r, oder so? Welche Version brauche ich da?

Und natürlich welche Module für iptables???

Viele Grüße
Zander
 
Hallo,

hm, ja?! Aber da steht nichts von Kernel Version oder so... Oder bin ich jetzt blind??? Und iptables Module steht da auch nichts. Oder doch???

Sorry, wenn ich zu blöde bin. Vielleicht habe ich auch nur den falschen Artikel verwendet. :confused:

Viele Grüße
Zander
 
Hallo,

ja, das habe ich gelesen. Aber ich habe auch im trac wiki gelesen, dass das Problem zu lösen sein, wenn man einfach nur das conntrack modul nicht läd. Da jetzt aber iptables -L an sich nicht funktioniert und ich gerade nicht an meiner FB sitze frage ich mich einfach schonmal, welche Module ich laden muß, damit zumindest ein einfacher DROP funktioniert. Das sollte doch eigentlich meinen Anforderungen genügen und dann stabil laufen. Oder sehe ich da was falsch?

Viele Grüße
Zander
 
Hallo Zander,

könntest Du bitte mal deine Signatur irgendwie pflegen oder in Deinen Beiträgen dazu schreiben, welche Box Du eigentlich hast. Es gibt da wesentliche Unterschiede zwischen der 7270 und den anderen Boxen, was den Kernel und iptables betrifft.

Ich habe eine 7270 und keinerlei Probleme mit iptables, auch nicht mit contrack.

Ich habe eine Freetz - Version aus dem trunk im Einsatz.

P.S. iptables "sagt" Dir, welche Module fehlen, wenn Du die Regel baust. Diese kannst Du dann mit modprobe nachladen (vorausgesetzt, Du hast die mit im Freetz gebaut). Ich habe in meinem FW Paket zunächst alle Module integriert und lade sie dann bei Bedarf in den Speicher, die 7270 hat ja genug Kapazität für iptables und diversen anderen Paketen.

Hier die Module, die ich verwende:

Code:
ip_conntrack_tftp       
xt_tcpudp               
xt_multiport            
xt_conntrack          
ipt_iprange             
ipt_REJECT             
xt_state                
ipt_LOG                 
iptable_filter          
ip_conntrack_ftp    
ip_conntrack          
ip_tables              
x_tables
 
Zuletzt bearbeitet:
Hallo,

super! Danke für die Ergänzung!. Ich habe mir jetzt mal ein neues image gebaut und die Module
ip_conntrack_ftp
ip_conntrack
herausgeschmissen. Die brauche ich nämlich nicht und damit scheint es jetzt endlich richtig stabil zu laufen. Ich gebe mal Rückmeldung, ob es damit auch mehrere Tage läuft ohne zu rebooten.

Grüße
Zander
 
Hallo nochmal,

BTW, ich nutzen ein 7170. Und wenn ich mal herausfinde, wie ich die Signatur ändern kann schreibe ich das auch da hinein.

Viele Grüße
Zander
 
Versuch mal oben Kontrollzentrum -> Signatur ändern... oder Nützliche Links -> Signatur ändern
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.