nhipt - Anfänger-Eingabeproblem

[Desertbum]

Hallo Gemeinde,

ich möchte gerne mein Wlan vom Lan mit iptables trennen.
Ich bin mit folgendem Howto vorgegangen (--> link)

Beim eingeben der INPUT-Regel für den Nameserver Port 53 bekomme ich folgende Fehlermeldung:

iptables: No chain/target/match by that name
Exit Code 0 - iptables -t filter -I INPUT 2 -i wlan -p tcp --dport 53 -j ACCEPT

Stimmt meine Syntax nicht? Oder hab ich ein Verständnisproblem?

Die Ausgabe von iptables -S:

/var/mod/root # iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 192.168.178.5/32 -j ACCEPT
-A FORWARD -i wlan -o wan -j ACCEPT
-A FORWARD -i wlan -j DROP
-A OUTPUT -d 192.168.178.5/32 -m state --state RELATED,ESTABLISHED -j ACCEPT
/var/mod/root #

Beste Grüße

Desertbum

 

[elmicha]

Gibt's denn ein Interface "wlan" bei Dir, d.h. taucht es in der Auswahl von "In IFC" im NHIPT-GUI oder in der Ausgabe von ifconfig auf?

Hier (7270 v2) gibt's nur wifi0 und ath0, was nach WLAN klingt. Welches davon das richtige ist, weiss ich leider auch nicht:

ath0      Link encap:Ethernet  HWaddr 00:1F:3F:17:4F:9D  
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:2290  Metric:1
          RX packets:323857 errors:0 dropped:0 overruns:0 frame:0    
          TX packets:446233 errors:0 dropped:1618 overruns:0 carrier:0
          collisions:0 txqueuelen:1000                                
          RX bytes:57290076 (54.6 MiB)  TX bytes:347656810 (331.5 MiB)

wifi0     Link encap:Ethernet  HWaddr 00:1F:3F:17:4F:9D
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6463143 errors:0 dropped:0 overruns:0 frame:168043
          TX packets:486327 errors:2819 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:934301757 (891.0 MiB)  TX bytes:370383802 (353.2 MiB)
          Interrupt:80 Memory:c0420000-c0430000

 

[sf3978]

[...]
Hier (7270 v2) gibt's nur wifi0 und ath0, was nach WLAN klingt.

Hast Du auch die Option "Alle Computer befinden sich im selben IP-Netzwerk" deaktiviert? Denn:

Dabei werden nicht nur die Netze getrennt, es entsteht auch ein neues Interface wlan.

..., sagt das Wiki.

EDIT:
@Desertbum
Versuch mal diese Regel:

iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT

 

[Desertbum]

Ja, das Interface wlan wird in der Eingabemaske des nhipt-cgi's angezeigt.

Die Ausgabe von ifconfig ergibt:

cpmac0 Link encap:Ethernet HWaddr 00:1C:4A:8C:7E:5B
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:512664 errors:0 dropped:0 overruns:0 frame:0
TX packets:255046 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:256950601 (245.0 MiB) TX bytes:239294956 (228.2 MiB)

dsl Link encapoint-to-Point Protocol
inet addr:--- --- P-t-P:--- --- Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:6739 errors:0 dropped:0 overruns:0 frame:0
TX packets:6718 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1100128 (1.0 MiB) TX bytes:721593 (704.6 KiB)

eth0 Link encap:Ethernet HWaddr 00:1C:4A:8C:7E:5B
inet addr:192.168.178.1 Bcast:192.168.178.255 Mask:255.255.255.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1
RX packets:102787 errors:0 dropped:0 overruns:0 frame:0
TX packets:13517 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:128
RX bytes:9194932 (8.7 MiB) TX bytes:2773367 (2.6 MiB)

eth0:0 Link encap:Ethernet HWaddr 00:1C:4A:8C:7E:5B
inet addr:--- --- Bcast:--- --- Mask:255.255.0.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:1500 Metric:1

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:645 errors:0 dropped:0 overruns:0 frame:0
TX packets:645 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:53333 (52.0 KiB) TX bytes:53333 (52.0 KiB)

wan Link encap:Ethernet HWaddr 00:1C:4A:8C:7E:5B
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:409874 errors:0 dropped:0 overruns:0 frame:0
TX packets:88231 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:247755489 (236.2 MiB) TX bytes:7068962 (6.7 MiB)

wlan Link encap:Ethernet HWaddr 00:1C:4A:45:56:EF
inet addr:192.168.122.1 Bcast:192.168.122.255 Mask:255.255.255.0
UP BROADCAST RUNNING ALLMULTI MULTICAST MTU:2290 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:152 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:7624 (7.4 KiB)

Ich kann mit der Ausgabe

iptables: No chain/target/match by that name
Exit Code 0 - iptables -t filter -I INPUT 2 -i wlan -p tcp --dport 53 -j ACCEPT

nichts anfangen.
Hab keine Iptables-Erfahrung.

Ist es ein Syntax-Problem oder ein Software-Problem?

 

[elmicha]

@sf3978: Ah, gut zu wissen. Nein, bei mir sind alle Computer im selben Netzwerk.

@Desertbum: die iptables-Fehlermeldungen sind wirklich nicht sehr hilfreich. Evtl. hast Du auch ein Modul nicht geladen (falls Du nicht replace kernel und autoload modules eingeschaltet hast)?

iptables -t filter -A INPUT -i wifi0 -p tcp --dport 53 -j ACCEPT

tut's bei mir ohne Probleme. Hier hab ich an Modulen:

ip_nat_ftp              3110  0                      
xt_tcpudp               2743  2                      
xt_state                1603  1                      
xt_mark                 1445  0                      
xt_MARK                 1910  0                      
iptable_nat             5837  1                      
iptable_filter          2158  1                      
ipt_iprange             1494  0                      
ipt_REJECT              3581  1                      
ipt_REDIRECT            1562  0                      
ipt_MASQUERADE          2579  0                      
ipt_LOG                 7037  0
ip_tables              11822  2 iptable_nat,iptable_filter
x_tables               13427  11 xt_tcpudp,xt_state,xt_mark,xt_MARK,iptable_nat,ipt_iprange,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,ipt_LOG,ip_tables
ip_nat                 15833  4 ip_nat_ftp,iptable_nat,ipt_REDIRECT,ipt_MASQUERADE
ip_conntrack_ftp        6519  1 ip_nat_ftp
ip_conntrack           46260  6 ip_nat_ftp,xt_state,iptable_nat,ipt_MASQUERADE,ip_nat,ip_conntrack_ftp

 

[sf3978]

Evtl. ein Syntax-Problem.

iptables -t filter -I INPUT 2 -i wlan -p tcp --dport 53 -j ACCEPT

 

[Silent-Tears]

Wenn du 0 Plan von iptables hast, solltest du vllt. mal die im Wiki verlinkten Dokumentationen dazu lesen, denn sonst geht das schneller schief, als du ausprobieren kannst.

Aber gut, du wirst sicherlich ein recover zur Hand haben?

 

[Desertbum]

@sf3978
soweit ich weiß bezieht sich die Nummer 2 auf die zweite Zeile der Tabelle.
Die Regel soll so an zweiter Stelle eingefügt werden.


Vielleicht habe ich ein Lösung gefunden:

wenn ich

iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT

eingebe bekomme ich eine Fehlermeldung.

Wenn ich dagegen

iptables -I INPUT -i wlan -p tcp --dport 53,54 -j ACCEPT

eingebe wird das multiport Modul angezeigt und die Regel wird akzeptiert.
Wenn ich die Regel anschließend editiere und die Portnummer 54 wieder lösche dann erscheint die gewünschte Regel endlich im Cgi.

Testen tu ich erst morgen.
Bin hundemüde....

Gute Nacht

Desertbum

 

[sf3978]

@sf3978
soweit ich weiß bezieht sich die Nummer 2 auf die zweite Zeile der Tabelle.
Die Regel soll so an zweiter Stelle eingefügt werden.

Ja, wenn es auch eine 1. Zeile der Tabelle (mit I=insert) gibt. (Sonst kommt bei mir, schon immer die Meldung: iptables: Index of insertion too big). Z. B.:

iptables -I INPUT [COLOR="Red"][B]1[/B][/COLOR] ....

Und diese habe ich bei dir nicht gesehen, deshalb der Hinweis.

wenn ich

iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT

eingebe bekomme ich eine Fehlermeldung.
[...]

Welche Fehlermeldung bekommst Du?

 

[alpha1974]

@Desertbum
--destination-port (= --dport) gehört zum multiport-Module (-m multiport). Siehe z.B. hier.

 

[sf3978]

@Desertbum
--destination-port (= --dport) gehört zum multiport-Module (-m multiport). [...][/URL].

Bei mir gehört --dport nicht zum multiport-Modul. --dports gehört bei mir zum multiports-Modul. Mit --dport kann ich einzelne Ports adressieren.

 

[alpha1974]

Bei mir gehört --dport nicht zum multiport-Modul. --dports gehört bei mir zum multiports-Modul. Mit --dport kann ich einzelne Ports adressieren.

In der Tat... ich sollte früh morgens am Nikolaustag die Finger von iptables lassen

 

[RalfFriedl]

Hast Du auch alle benötigten iptables-Libraries im Image?
Ansonsten versuche es mal mit strace.

 

[Desertbum]

Hallo, da bin ich wieder.

Meine oben gemachte Beobachtung scheint sich zu bewahrheiten:
Nur wenn ich erst mal mehrere Port Nummern angebe wird der Parameter --dport aktiviert:

So kalppts nicht (Fehlermeldung von nhipt):

iptables: No chain/target/match by that name
Exit Code 0 - iptables -t filter -A INPUT -i wlan -p tcp --dport 54 -j ACCEPT

So klappts:

iptables -t filter -R INPUT 4 -i wlan -p tcp -m multiport --dports 54,55 -j ACCEPT

Wenn ich jetzt nachträglich die Regel editiere und einen Port lösche dann habe ich die gewünschte Regel:

iptables -t filter -R INPUT 4 -i wlan -p tcp -m multiport --dports 54 -j ACCEPT

Kann nicht erklären warum das funktioniert. Anscheinend muß ich doch das Multiport-Modul aktivieren auch wenn ich nur einen Port angebe.
(Habe immer nur --dports).

Grüße

Desertbum

 

[sf3978]

[...]
Wenn ich jetzt nachträglich die Regel editiere und einen Port lösche dann habe ich die gewünschte Regel:[...]

Wie gibst Du die Regeln ein bzw. wie editierst Du die Regeln? Mit Konsole und Texteditor?

 

[Desertbum]

Alles über nhipt-cgi.
Da gibt es ja auch die Möglichkeit eine Regel zu editieren.

 

[sf3978]

Und wenn Du gleich, trotz "-m multiport" nur einen Port mit "--dports 54" eingibst, funktioniert es nicht?

iptables -t filter -A INPUT -i wlan -p tcp [COLOR="Red"]-m multiport[/COLOR] --dport[COLOR="#ff0000"]s[/COLOR] 54 -j ACCEPT

 

[Desertbum]

Das Multiport-Modul wird im Drop-Down-Menu nicht angezeigt.
(Module steht auf auto)
Für deine Eingabe bekomme ich dann die übliche Fehlermeldung:

iptables: No chain/target/match by that name
Exit Code 0 - iptables -t filter -A INPUT -i wlan -p tcp --dport 54 -j ACCEPT

Macht aber nichts wenn ich gleich mehrere Ports angebe wird das Muliport-Modul automatisch aktiviert (Muß dann halt nachträglich überflüssige Ports entfernen)

Funktioniert aber bestens auf diese weise

Grüße


Desertbum

 

[cando]

Multiport wird automatisch an der Eingabe der Ports erkannt und bei Bedarf gesetzt wenn mehr als ein Port angegeben wird (automatik). Gleiches gilt für iprange. Da diese module häufig mit anderen Modulen zusammen verwendet werden und die Zeile nicht unnötig lang werden sollte, habe ich diese Erkennung eingebaut. Bei einzelnen Ports ist das multiport modul überflüssig. Dann wird das Standard-Modul xt_tcpudp verwendet.

Bei multiport sind das Komma [,] und Doppelpunkt [:]
Bei iprange ist das das [-] Zeichen


Übrigens:

[B]Exit Code 0[/B] - iptables -t filter -I INPUT 2 -i wlan -p tcp --dport 53 -j ACCEPT

bedeutet, Regel erfolgreich gesetzt. Exit Code 0 ist immer OK. Die Ausschrift dient zur Information, wie die Regel denn nun zusammengebaut wurde.

 

[sf3978]

Was bedeutet das hier?

iptables: No chain/target/match by that name