iptables unter Freetz/7270

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hallo olistudent,
leider habe ich ab und zu Probleme damit, deshalb wollte ich die Regeln ohne eine Oberfläche verarbeiten um zu schauen ob's daran liegt.
Ich bekomme u.a. die Meldung .... nicht im modules.deb bzw. ab und an spontane Reboots.
Vielleicht mache ich ja etwas falsch und führt deshalb dazu.
 
Das kommt ja nicht von der Oberfläche. Wenn du die Meldung bekommst, dass irgendwelche Module nicht in der modules.dep sind, dann poste bitte deine Regeln und deine .config. Wahrscheinlich hast du vergessen im menuconfig das entsprechende Modul auszuwählen.
Spontane Reboots kommen sicher auch nicht von der verwendeten Oberfläche...

Gruß
Oliver
 
Hallo olistudent,
anbei die beiden 7170 und 7270 config.dateien und die geladenen Iptables module der Boxen. Wenn noch weitere Daten benötigt werden um die beiden Probs zu lösen, lade ich gerne hoch.
Der Reboot tritt häufig bei beiden Boxen auf, wenn größere Dateien aus dem Internet geladen (z.B. Servicepacks) oder im Netzwerk kopiert / verschoben werden.
Auch ein interner Portscan nach offenen Ports auf den angeschlossenen PC und Notebooks führten zu Reboots.
Iptables entladen und die Boxen laufen stabil. Beide Images wurden mit Freetz-Stable 1.1 unter Freetz-Linux erstellt.
Danke im voraus für Deine Hilfe und Zeit.
 
Lauser71 schrieb:
...
Der Reboot tritt häufig bei beiden Boxen auf, wenn größere Dateien aus dem Internet geladen (z.B. Servicepacks) oder im Netzwerk kopiert / verschoben werden.
Auch ein interner Portscan nach offenen Ports auf den angeschlossenen PC und Notebooks führten zu Reboots.
...
Zum Vergrößern anklicken....
Das ist bei meinen Boxen (... und bei anderen ...) genau so und auch "normal". Denn die FritzBox ist für diese Art von Betrieb (Nutzung bzw. Modifizierung), nicht entwickelt worden.
 
sf3978 schrieb:
Das ist bei meinen Boxen (... und bei anderen ...) genau so und auch "normal". Denn die FritzBox ist für diese Art von Betrieb (Nutzung bzw. Modifizierung), nicht entwickelt worden.
Zum Vergrößern anklicken....

Hallo sf3978,
danke für deine Antwort, so normal finde ich das nicht. Ich habe hier noch einen Linksys WRT54GS mit DD-WRT 2.4 SP2 der auch nicht für Modifikationen z.B. Iptables entwickelt wurde. Keinerlei Reboots. Nachteil ist z.B. das kein DSL Modem integriert ist und somit mehrere Geräte benutzt werden müssen.
 
Ist auch bei der Fritzbox nicht normal. Einzig bei Boxen der 71xx Reihe gibt es RAM-Probleme und ddurch Reboots durch das Connection-Tracking. Möglicherweise ist auch das behoben, im Ticket gibt es noch keine Rückmeldungen
 
Nur am Rande: Ich habe auch ein WRT54GL und ein WRT54GS mit dd-wrt, die nicht rebooten wenn Daten mit ca. 25MBit/s durch sie geroutet (... ich habe Kabelanschluss und brauche kein DSL-Modem) werden. Es ist nur die FritzBox (7240 und 7170), ... auch mit der Original-AVM-Firmware, die über LAN1 am Kabelmodem angeschlossen ist, und beim Download mit ca. 25MBit/s, reproduzierbar rebootet. Wenn ich meine modifizierte FritzBox, mit iptables gegen Stealth-scan (Xmas-scan, etc.) absichere und dann diese Box über das Internet scanne, dann rebootet die Box auch reproduzierbar. Der WRT54G*-Router rebootet auch hier nicht. Ich kann aber mit diesen Reboots der FritzBox, leben.;)
 
Es kann ja niemand wissen was du genau gemacht hast. Vielleicht loggst du jedes Paket und deshalb ist kein Ram merh vorhaden? Es gibt jedenfalls keine bekannten Problem mit iptables und 72xx
 
Hallo cuma,
die gleichen Iptables funktionieren ja beim Linksys. Selbst eine 71XX dürfte dieses Problem nicht bekommen, da diese Linksys Router weniger bzw gleiche Leistungsdaten haben wie die 7170.

Hallo sf3978,
bei Deinem ersten Satz hast Du dich glaub ich etwas vertan, oder? "nicht rebootet" ??
Ein einfacher Portscan verursacht keine 25 mbit/s Datenaufkommen, des weiteren habe ich diese MEGA Geschwindigkeiten hier gar nicht.
Wenn Du es akzeptierst, mit den Reboots ist das für Dich ok. Ich akzeptiere es halt nicht.
 
Was meinst du mit "gleichen Ipatbles"? Nutzt dieser andere Router genau die gleichen Kernelversion? Lies doch das Ticket dazu...
 
Lauser71 schrieb:
...
bei Deinem ersten Satz hast Du dich glaub ich etwas vertan, oder? "nicht rebootet" ??
Ein einfacher Portscan verursacht keine 25 mbit/s Datenaufkommen, ...
Zum Vergrößern anklicken....
Nein, ich habe mich nicht vertan. Ich kann die FritzBox durch einen Stealth-Scan (d. h. mit iptables) und/oder durch einen Download (ohne iptables, d. h. iptables muss nicht auf der Box installiert sein), reproduzierbar rebooten lassen. Das Rebooten durch den Stealth-Scan hat nichts mit den 25 MBit/s zu tun.
 
Mit original Firmware? Ne, kann ich nicht glauben.
Hatte zu 7170 Zeiten 25 MBit und jetzt mit 7270 32 Mbit. Allein durch downloaden gibt es weder mit original noch mir Freetz Reboots. Auf der 7270 hab ich auch schon immer Conntrack geladen
 
Hallo cuma,
mit gleichen Iptables meinte ich die gleichen Freigaben, Verbote und Loggings.

Hallo sf3978,
genau wie cuma kann auch ich Dir das so nicht glauben. Wenn die Iptables nicht geladen sind die Boxen soweit ohne Reboot frei selbst wenn ich die Boxen einen Portscan mit Nmap unterziehe.
Ich weiß nur nicht was da falsch läuft.
 
Nimm mal den Browser mit dem du hier schreibst und dazu 2 "Microsoft Betriebssysteme": MS-DOS 1.0 und Windows 7. Jetzt startest du jeweils den Browser mit gleichen Parametern, Einstellungen usw. Was fällt auf?
 
Hallo cuma,
so ein Blödsinn. Ein noch unsinnigeres Beispiel ist Dir wohl nicht eingefallen.
Im Gegensatz zu Deinem Beispiel sind die beiden Router fast zeitgleich auf dem Markt gekommen. Somit sollten die beiden verwendeten Kernel auch nahezu gleich sein. Bei Deinem Beispiel liegen wohl mehr als 20 Jahre dazwischen. Nächstesmal vergleiche doch bitte einen Fiat 500 mit einen Porsche 911 GT 3 RSR.
 
Lauser71 schrieb:
...
genau wie cuma kann auch ich Dir das so nicht glauben. Wenn die Iptables nicht geladen sind die Boxen soweit ohne Reboot frei selbst wenn ich die Boxen einen Portscan mit Nmap unterziehe.
Ich weiß nur nicht was da falsch läuft.
Zum Vergrößern anklicken....
Ein Stealth-Scan/Xmas-Scan mache ich nur dann bzw. dieser verursacht auch nur dann ein Reboot, wenn der Stealth-Scan/Xmas-Scan an die Box, mit iptables gedropt wird. D. h. meine Box ist dann modifiziert. Ich habe nicht behauptet, dass ich auf die unmodifizierte Box (d. h. ohne iptables auf der Box) ein Stealth-Scan/Xmas-Scan mache. Das andere ist das Rebooten in Folge des downloads (... hat mit dem Scan nichts zu tun).

EDIT:
Es ist nicht der Scan, der die Box rebootet. Es ist die Reaktion der Box, mit iptables auf den Scan.
 
Zuletzt bearbeitet:
@Lauser71: Hab keine Lust mich für dich mit irgendwelchen Autos zu beschäftigen, das bleibt dir selbst überlassen. Wenn dich nur die 20 Jahre stören, nimm Windows 7 x32 und x64, die zufällig am gleichen Tag veröffentlicht wurden.
 
@Lauser71:

Zu Deiner ursprünglichen Frage:
Andere User meinen es gäbe noch andere Möglichkeiten die ggf besser geeignet wären.
Nun meine Frage: wie am besten vorgehen ?
Zum Vergrößern anklicken....

Egal welches UI du für iptables verwendest, um Regeln zu erstellen oder anzusehen - am Ende entsteht immer ein Script mit Regeln, das in der Bootsequenz der Box aufgerufen wird, damit die Regeln nach dem Reboot wieder geladen werden.

Hierzu gibt es mehrere Eingreifpunkte für den Benutzer, um eigene Scripts beim booten auszuführen, die zu unterschiedlichen Zeiten in der Bootsequenz aufgerufen werden:

Die debug.cfg wird sehr frühzeitig ausgeführt, noch bevor alle Komponenten der Box / freetz aktiv sind. Damit kann man die box zum Teil schon während dem Booten abdichten.

Dann gibt es die rc.custom, die recht "spät" aufgerufen wird, wenn freetz geladen ist, dazwischen liegen noch die freetz Dienste - die z.B. auch durch die iptables cgi bemüht werden, um die Regeln zu laden - hier kann man die Startreihenfolge in der Entwicklung festlegen. Beim nhipt UI kann man sich es aussuchen, ob man die freetz Dienste zum Laden der Regeln bemüht oder schon in der debug.cfg die Regeln laden läßt, man kann aber auch die rc.custom bemühen, wenn man denn möchte.

Wenn man gar kein UI möchte hat man die Qual der Wahl. Hier ist aber auch das Risiko größer, dass man sich komplett aussperrt. Bei den cgi wurden schon ein paar Schutzmaßnahmen vorgesehen, um das etwas zu erschweren. So werden die Regeln z.B. dei nhipt nicht automatisch persistent gespeichert, sondern mit einer zusätzlichen User Aktion, nachdem die Regeln bereits wirksam sind. Wenn man sich mit einer unbedachten Regel ausgesperrt hat, genügt in den meisten Fällen ein Reboot, da sie ja nicht gespeichert werden konnte.

Um es kurz zu machen, Du kannst es Dir aussuchen, wo Du Dein Script aufrufst oder reinschreibst...

Eine elegante Möglichkeit ist auch ein Startscript auf dem USB Stick zu hinterlegen, dass mit freetzmount automatisch ausgeführt wird. Wenn man den Stick abzieht, bootet die Box ohne Firewall und man kann sich nicht so aussperren, dass nur noch ein recovery image hilft. (Das kann man natürlich auch benutzen um die Box im Falle des Aussperrens mit einem entsprechenden Script zu entsperren - vorausgesetzt freetz mount funktioniert).

Was reboots angeht - ich habe bei meiner 7390 auch ein instabiles Verhalten, dass aber mit iptables nichts zu Tun hat und auch nicht reproduzierbar ist. Meine Box hat sich letztens aufgehängt und rebootet, als ich im AVM UI bei einem WLAN Gerät den Haken gesetzt habe, dass es immer die gleiche IP beziehen soll. Dummerweise hatte ich nicht den STD_PRINTK aktiviert, so dass ich im syslog keine Einträge zur Ursache dafür mehr finden kann.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 710 (Mitglieder: 24, Gäste: 686)

Neueste Beiträge

Statistik des Forums

Themen
244,838
Beiträge
2,219,256
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück