iptables

[Beppo98]

Guten Abend,

ich hätte kurz eine Frage zu den iptables.

Kann ich irgendwo nachvollziehen, welche iptables-Module neugestartet werden, wenn ich über die Freetz-Weboberfläche unter Dienste den Button "Restart" bei den iptables drücke?

Gruß Beppo

 

[olistudent]

Hallo.
Eigentlich sollten alle Module neu geladen werden. Guckst du hier.

MfG Oliver

 

[cando]

Welche Oberflächen benutzt Du?

mit lsmod kannst Du Dir die geladenen Module anzeigen lassen.

Wenn Du mit der NHIPT Oberfläche arbeitest sind start / stop und restart wirkungslos, iptables laufen, wenn sie einmal gestartet sind - immer. Wenn Du die Firewall deaktivieren willst, einfach entsprechende Regeln einstellen (z.P alle default policies auf Permit und danach alle Regeln / Chains löschen, oder als erste Regel eine ACCEPT Regel ohne Einschränkungen einfügen.

Mit rmmod kannst Du einzelne Module entladen, sofern sie nicht in bestehende Regeln verwendet werden (Vorsicht bei conntrack und nat, die Zusatzmodule für die speziellen Protokolle ftp, tftp, h323, irc kann man immer entladen)

 

[Beppo98]

Sorry das ich jetzt erst antworte, hatte aber die letzten Wochen ziemlich zu tun.

Welche Oberflächen benutzt Du?

Ich glaube die Oberfläche nennt sich einfach Webcfg.

Eigentlich möchte ich nur die Befehle nachvollziehen können, welche durch Drücken des Buttons "Restart" bzw "Start" oder "Stop" bei iptables, an die FritzBox gesandt werden.

Mein Problem ist nämlich folgendes:
Sobald sich die FritzBox neustartet, werden zwar wieder alle Module geladen, aber wenn ich dann manuell wieder die iptables konfiguriere, mit folgendem Befehl:

iptables -t nat -A PREROUTING -i lan -p tcp --dport 80 -j REDIRECT --to-port 8118

Dann erscheint die Meldung:

iptables: No chain/target/match by that name

Wenn ich jedoch über die Oberfläche die iptables stoppe und anschließend wieder starte, dann funktioniert oben genannter Befehl einwandfrei.

Deshalb möchte ich gerne nach dem Start der FritzBox den "Stop-Befehl" und "Start-Befehl" der iptables automatisch ausführen lassen, damit anschließend auch die iptables Konfiguration einwandfrei klappt.

Gruß Beppo

 

[cando]

Es gibt 2 verschiedene CGI (Web Oberflächen) zu iptables. Deshalb meine Frage. Wenn Du das iptables-cgi benutzt, werden iptables gestoppt und gestartet über die Dienste - (bei nhipt ist das nicht vorgesehen, da es eigentlich überflüssig ist). Es werden die Module in der Modulliste geladen.
Wahrscheinlich haben Dir einige Kernelmodule bei Deiner Regel gefehlt / waren nicht geladen.

Wenn Du das nhipt Interface in Verbindung mit der 7270 verwendest, werden die meisten benötigten Module erkannt und bei Bedarf automatisch nachgeladen.

Noch besser ist ein Setzen des KMOD Kernel Schalters vor dem Compilieren der Firmware in Verbindung mit replaced Kernel, falls Du den Trunk verwendest. Der sorgt dafür, dass der Linux Kernel seine Module automatisch bei Bedarf lädt.

Warum ist das Stoppen und Starten von iptables nicht sinnvoll:

Wenn man die Firewall für bestimmte Zwecke deaktivieren möchte genügt eine einzige zusätzliche Regel am Anfang der betreffenden Kette. Der Vorteil dieser Vorgehensweise ist, dass man z.B. die Firewall für das LAN (oder einen dedizierten PC im LAN) deaktivieren kann, während die Box (die anderen PC'S) weiterhin vollständig geschützt bleibt. Deaktiviert mal alle Regeln ist der Schutz für das gesamte Netz inklusive Box weg.

Support zu einzelnen Punken beim iptables-cgi kann ich Dir nicht anbieten, wenn Du Fragen zu nhipt hast, dann benutze bitte den entsprechenden Thread.

P.S. Die galadenen Module kannst Du Dir mit

lsmod

in der shell anzeigen lassen, fehlende Module werden mit

modprobe <Modulname>

geladen.

Viele Grüße

cando