tcpdump Interface Problem - iptables mit Freetz lauffähig

[starmagoo]

Jenes:

/var/mod/root # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain TRANS (0 references)
target     prot opt source               destination
/var/mod/root #

 

[stinkstiefel]

Und was sagt lsmod?

 

[starmagoo]

Dieses:

/var/mod/root # lsmod
Module                  Size  Used by    Tainted: P
ip_conntrack_tftp       3225  0
ip_conntrack_ftp        6519  0
xt_conntrack            2203  0
xt_state                1603  0
ip_conntrack           46260  4 ip_conntrack_tftp,ip_conntrack_ftp,xt_conntrack,xt_state
xt_multiport            2846  0
ipt_iprange             1494  0
ipt_REJECT              3581  0
ipt_LOG                 7037  0
xt_tcpudp               2743  0
iptable_filter          2158  1
ip_tables              11822  1 iptable_filter
x_tables               13427  8 xt_conntrack,xt_state,xt_multiport,ipt_iprange,ipt_REJECT,ipt_LOG,xt_tcpudp,ip_tables
rtc_dev                 5493  1
sch_sfq                 5619  4
sch_llq                 9102  1
sch_tbf                 5664  1
wlan_scan_ap           11093  1
wlan_acl                5307  1
wlan_wep                6527  0
wlan_tkip              13558  2
wlan_ccmp               8825  2
wlan_xauth              1182  0
ath_pci               173236  0
ath_rate_atheros       58936  1 ath_pci
wlan                  268669  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
ath_dfs                39236  2 ath_pci,wlan
ath_hal               257832  4 ath_pci,ath_rate_atheros,ath_dfs
avm_ath_extensions     46318  4 ath_pci,ath_rate_atheros,wlan,ath_hal
ext3                  131149  0
jbd                    62144  1 ext3
ext2                   58569  1
mbcache                 7075  2 ext3,ext2
vfat                   11303  0
fat                    53460  1 vfat
nls_cp437               5368  0
nls_iso8859_1           3714  0
usb_storage            36397  1
sd_mod                 17441  2
scsi_mod               93945  2 usb_storage,sd_mod
kdsldmod              830546  2
musb_hdrc              37265  0
usbcore               126440  3 usb_storage,musb_hdrc
dect_io                21062  2
avm_dect              371324  1 dect_io
capi_codec            136865  0
isdn_fbox_fon5        757041  0
pcmlink               249950  3 avm_dect,capi_codec,isdn_fbox_fon5
rtc_avm                 6457  2 pcmlink
rtc_core                7083  2 rtc_dev,rtc_avm
rtc_lib                 2712  2 rtc_avm,rtc_core
Piglet_noemif          35424  0
led_modul_Fritz_Box_7270    61130  7 ath_hal
/var/mod/root #

Was sagt mir lsmod aus???

EDIT:

ok die geladenen module... ip_tables steht mit drin also sollte es laufen oder übersehe ich was?

 

[stinkstiefel]

Ja die Module sind geladen, aber ich vermute die iptables libraries werden nicht gefunden. Wie gesagt nur ne Vermutung, könnte man vielleicht durch einen Symlink beheben wenn man weiss wo sie liegen und wo nach ihnen gesucht wird.

 

[starmagoo]

Weiß denn das jemand hier???
Wär ne coole sache... Ich hab versucht über die AVM Firewall ports nach außen zu sperren aber trotzdem sehe ich mittels darkstat Traffic auf den Ports... IPtables sollte dem doch Einhalt gebieten?

 

[stinkstiefel]

Schau doch selbst mal mit ls -l /usr/lib/iptables und ls -l /lib/iptables nach was so da ist.

 

[starmagoo]

Ist beides nicht vorhanden... Eventuell liegts daran. Wenn ich nach iptables suche findet er nur folgende Pfade.

/usr/sbin/iptables
/var/mod/pkg/iptables

Desweiteren geht seit gestern mein RRDstats nicht mehr. Keine ahnung ob es damit zusammenhängt... Nur zur Info.

 

[stinkstiefel]

Findest du xtables, und was ist da drin?

 

[starmagoo]

Suche ich nach *tables* findet er folgendes:

/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_tables.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko

 

[stinkstiefel]

Okay, dann passt vermutlich etwas beim iptables build nicht.

 

[cando]

Hast Du im menuconfig auch alle (benötigten) Module von iptables vor dem build ausgewählt? Es genügt nicht nur den Haken bei iptables zu setzen!

Im wiki findest Du Beispiele für eine funktionierende Konfiguration und den dafür benötigten Modulen.

Klick

P.S. das sind nicht xtables, sondern x_tables.

 

[cando]

Ich möchte gern für ein gewisses Netz bzw eine gewisse IP alle Ports ab (Beispielsweise) 1024 sperren.
Ich habe verschieden Kernel Module integriert und nachgeladen und wenn ich versuchen das ganze über

iptables -A TRANS -p tcp -s x.x.x.x -m multiport --dport 1024-65535 -j DROP

zu sperren bekomme ich folgende Meldung:

iptables v1.4.1.1: Couldn't load match `multiport':File not found

Ohne Multiport:

iptables v1.4.1.1: Unknown arg `--dport'

Was mache ich falsch? Ich habe mich an die kurze Anleitung auf freetz.org gahalten. bzw die Regel abgeändert.

Auch folgendes funzt nicht:

iptables -A INPUT -s x.x.x.x -j DROP
iptables v1.4.1.1: Couldn't load target `standard':File not found


Wo is mein Problem?

Danke...

Um Multiport zu nutzen muss man das Modul vorher mit compilieren und anschliessend laden:

modprobe xt_multiport

für die einfachen Portregeln braucht man mindestens:

modprobe ip_tables
modprobe iptable_filter
modprobe x_tables
modprobe xt_tcpudp

Ausserdem benutzt Du das Ziel TRANS. Das ist kein iptables Standard Ziel. (Die Standardkette wäre FORWARD)
Wenn Du eine eigene Kette Namens TRANS nutzen willst, musst Du diese erst mal anlegen und bekanntmachen mit:

iptables -N TRANS

 

[starmagoo]

Hallo cando,

ich habe alle möglichen Module mit ins Image geladen auch habe ich sie mittels modprobe (ohne Fehlermeldung) in den Kernel geladen.

Ich bastel mir grad nochmal ein neues Image mit erstmal nur den Modulen die auch im Wiki genannt sind. Das sollte ja reichen... mal sehen was dann passiert!

 

[olistudent]

Die Iptables-Libs sollten in /usr/lib/xtables sein.

MfG Oliver

 

[starmagoo]

OK. Neues Image, selbes Problem... Bekomme selbe Meldung.
Module sind mit integriert und habe sie auch geladen.

Dennoch geht nichts... auch das Verzeichnis /usr/lib/xtables habe ich nicht... kann es am Freetz 1.1 RC3 liegen? Ich bastel grad mal ein Trunk Image...

Resonanz folgt.

 

[starmagoo]

Trunk Image gebaut und iptables läuft auch hier nicht. Ist das Problem bekannt? Hat überhaupt jemand iptables auf einer Freetz laufen wenn ja wie habt ihr es gebaut?

Grüße...

 

[cuma]

Mir ist nur bekannt, dass es funktioniert

 

[starmagoo]

Naja irgendwas muss ich ja beim kompilieren falsch machen...

Hab mal ein paar screenshots angehängt.

 

[stinkstiefel]

Ich hab zwar keine Ahnung von Freetz, aber wie sieht denn /make/iptables/Config.in nach menuconfig aus? Könnte gut möglich sein das du noch "Iptables shared libraries" auswählen musst.

 

[cando]

Hallo,

ich habe iptables seit über einem halben Jahr erfolgreich auf der 7270 im Einsatz. Ich benutze den trunk und habe ausnahmslos alle Bibliotheken (Kernel Module, shared Libraries) in mein Image integriert. Die Box hat ja genug Speicher.

Ich lade aber mit modprobe nur die Bibliotheken, die in der wiki beschrieben sind, in der wiki ist auch nur ein Auszug aus meinem Firewall Regelwerk, die Regeln sind so eingetragen und funktionieren alle, wie beschrieben.

Hier ist eine Liste der module in /usr/lib/xtables sowie ein lsmod der geladenen Module:

/var/mod/root # ls /usr/lib/xtables
libip6t_HL.so          libipt_addrtype.so     libxt_connmark.so
libip6t_LOG.so         libipt_ah.so           libxt_conntrack.so
libip6t_REJECT.so      libipt_ecn.so          libxt_dscp.so
libip6t_ah.so          libipt_icmp.so         libxt_esp.so
libip6t_dst.so         libipt_ipp2p.so        libxt_hashlimit.so
libip6t_eui64.so       libipt_policy.so       libxt_helper.so
libip6t_frag.so        libipt_realm.so        libxt_iprange.so
libip6t_hbh.so         libipt_recent.so       libxt_length.so
libip6t_hl.so          libipt_set.so          libxt_limit.so
libip6t_icmp6.so       libipt_ttl.so          libxt_mac.so
libip6t_ipv6header.so  libipt_unclean.so      libxt_mark.so
libip6t_mh.so          libxt_CLASSIFY.so      libxt_multiport.so
libip6t_policy.so      libxt_CONNMARK.so      libxt_owner.so
libip6t_rt.so          libxt_CONNSECMARK.so   libxt_physdev.so
libipt_CLUSTERIP.so    libxt_DSCP.so          libxt_pkttype.so
libipt_DNAT.so         libxt_MARK.so          libxt_quota.so
libipt_ECN.so          libxt_NFLOG.so         libxt_rateest.so
libipt_LOG.so          libxt_NFQUEUE.so       libxt_sctp.so
libipt_MASQUERADE.so   libxt_NOTRACK.so       libxt_standard.so
libipt_MIRROR.so       libxt_RATEEST.so       libxt_state.so
libipt_NETMAP.so       libxt_SECMARK.so       libxt_statistic.so
libipt_REDIRECT.so     libxt_TCPMSS.so        libxt_string.so
libipt_REJECT.so       libxt_TCPOPTSTRIP.so   libxt_tcp.so
libipt_SAME.so         libxt_TOS.so           libxt_tcpmss.so
libipt_SET.so          libxt_TRACE.so         libxt_time.so
libipt_SNAT.so         libxt_comment.so       libxt_tos.so
libipt_TTL.so          libxt_connbytes.so     libxt_u32.so
libipt_ULOG.so         libxt_connlimit.so     libxt_udp.so
/var/mod/root #



/var/mod/root # lsmod
Module                  Size  Used by    Tainted: P  
wlan_scan_ap            8792  1 
wlan_acl                3347  1 
wlan_wep                6038  0 
wlan_tkip              12409  2 
wlan_ccmp               7932  0 
wlan_xauth              1182  0 
ath_pci               142045  0 
ath_rate_atheros       55443  1 ath_pci
wlan                  214279  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
ath_dfs                23486  1 ath_pci
ath_hal               212696  4 ath_pci,ath_rate_atheros,ath_dfs
avm_ath_extensions     43757  4 ath_pci,ath_rate_atheros,wlan,ath_hal
rtc_dev                 5493  1 
ip_conntrack_tftp       3225  0 
xt_tcpudp               2743  7 
xt_multiport            2846  3 
sch_sfq                 5619  4 
sch_llq                 9102  1 
xt_conntrack            2203  0 
ipt_iprange             1494  0 
sch_tbf                 5664  1 
ipt_REJECT              3581  10 
xt_state                1603  3 
ipt_LOG                 7037  4 
iptable_filter          2158  1 
ip_conntrack_ftp        6519  0 
ip_conntrack           46260  4 ip_conntrack_tftp,xt_conntrack,xt_state,ip_conntrack_ftp
ip_tables              11822  1 iptable_filter
x_tables               13427  8 xt_tcpudp,xt_multiport,xt_conntrack,ipt_iprange,ipt_REJECT,xt_state,ipt_LOG,ip_tables
ext3                  131149  0 
jbd                    62144  1 ext3
ext2                   58569  1 
mbcache                 7075  2 ext3,ext2
vfat                   11303  0 
fat                    53460  1 vfat
nls_cp437               5368  0 
nls_iso8859_1           3714  0 
usb_storage            36397  1 
sd_mod                 17441  2 
scsi_mod               93945  2 usb_storage,sd_mod
kdsldmod              830518  2 
musb_hdrc              37265  0 
usbcore               125996  3 usb_storage,musb_hdrc
dect_io                21062  2 
avm_dect              371324  1 dect_io
capi_codec            136865  0 
isdn_fbox_fon5        757041  0 
pcmlink               249950  3 avm_dect,capi_codec,isdn_fbox_fon5
rtc_avm                 6457  2 pcmlink
rtc_core                7083  2 rtc_dev,rtc_avm
rtc_lib                 2712  2 rtc_avm,rtc_core
dsl_ur8               170912  0 
jffs2                 115345  1 
Piglet_noemif          35424  0 
led_modul_Fritz_Box_7270    61130  7 ath_hal
/var/mod/root #

Soviel ich weiss, braucht man immer sowohl die kernel Module, als auch die shared libraries. Soweit ich deinem Screen Shot entnehmen kann, hast Du keine einzige der shared libraries ausgewählt. Ich vermute mal, das ist der Fehler.

Viel Erfolg beim Bauen!

cando