tcpdump Interface Problem - iptables mit Freetz lauffähig

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Ja habe ich aktiviert.
Dann kann es nur der Kernel sein... :(

EDIT:
Ok es liegt definitiv am der auswahl der Box bzw am Kernel.
Ich habe gerade mal ein Image für eine 7170 kompiliert und allein bei der Auswahl der Module habe ich wesentlich mehr. Auch findet sich nachdem erstellen das Modul welches ich nicht in meine 7270 laden lann. Schade...
Code: 
./build/modified/filesystem/usr/lib/xtables/libipt_ipp2p.so
./build/modified/filesystem/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_ipp2p.ko
Hat schonmal jemand ipp2p mit iptables in einer 7270 lauffähig bekommen? Wäre Klasse wenn ich das Modul noch mit integrieren könnte. Dann wäre mein eigentliches Vorhaben vollsten gesichert. ;)
 
Zuletzt bearbeitet:
Hi.
Habs im trunk gefixt...
Code: 
svn up
make kernel-dirclean
make
MfG Oliver
 
Hallo starmagoo,

schön dass es nun klappt. Zum Thema TRANS - Kette: Beim Testen habe ich mir mehrere Ketten "gebastelt" und sie dann in die FORWARD Chain eingehängt, so kann man schneller ganze Regelsätze mit nur einem Befehl aktivieren oder deaktivieren / löschen, indem man den JUMP Befehl modifiziert:

Code: 
iptables -D FORWARD -j TRANS
iptables -A FORWARD -j WURZELBRUNFT

etc. Ist hilfreich, um z.B. VoiP oder diverse Messenger bei Bedarf ein / Auszuschalten. Man könnte z.B. auch per knockd oder call monitor so die Firewall von aussen steuern, indem man ganze Regelsätze bei Bedarf aktiviert oder abschaltet.

Ich habe das in der Wiki nicht weiter beschrieben, denn die soll ja nicht ein iptables Lehrgang werden, sondern nur die Basics vermitteln, fand es aber trotzdem erwähnenswert als "Anregung" bei der Gestaltung eigener Regeln.

Viele Grüße und viel Spass beim Konfigurieren!

Cando
 
Nabend...

Vielen Dank @olistudent !!! Seit deinem Fix läuft ipp2p. Echt klasse...
Darf man erfahren woran es lag?

@cando Danke für die Hinweis. Ich brauch glaube noch eine weile um iptables genauer zu verstehen und den Sinn diverser Chains oder Regel herauszubekommen. In erster Linie will ich diverse Dienste blocken Dazu zählen P2P Dienste wie auch gewisse Websites.

Und da kommen wir zum nächsten Phänomen. Sobald ich Websites sperre, sie also hinzufüge oder anzeigen lasse macht er eine Namensauflösung. Das ist auch nicht verkehrt aber entweder braucht er zu lange oder bekommt keine Antwort denn es dauert ewig bis er mir die Regel anzeigt oder sie sogar hinzufügt. Ich lasse derzeit "dnsmasq" laufen und in der "resolv.conf" habe ich 2 externe DNS Server eingetragen. Surfe ich normnal über die Box ohne Regeln und trage die Box als DNS-Server ein dann klappt alles Prima nur eben hat iptables da anscheinend ein Problem. Kennt jemand des Phänomen?


Danke für eure unterstützung.

EDIT:
um es mal genauer zu definieren:

iptables -L -n bringt sofort die Liste
iptables -L bringt (jeh nachdem wieviele Websites ich hinzugefügt habe) nach einer wesentlich längeren Zeit die Liste.
 
Zuletzt bearbeitet:
starmagoo schrieb:
In erster Linie will ich diverse Dienste blocken Dazu zählen P2P Dienste wie auch gewisse Websites.
Zum Vergrößern anklicken....

Websites kannst Du mit dnsmasq eleganter blocken/umleiten.
Wenn es nicht viele Websites sind, dann kannst Du deren IP-Adresse ermitteln und iptables zum blocken verwenden.

starmagoo schrieb:
EDIT:
um es mal genauer zu definieren:

iptables -L -n bringt sofort die Liste
iptables -L bringt (jeh nachdem wieviele Websites ich hinzugefügt habe) nach einer wesentlich längeren Zeit die Liste.
Zum Vergrößern anklicken....


-n -> IP- und Port-Nummern werden nicht in Namen aufgelöst
Dynamische DNS-Namen, deren IP-Adresse sich ändert, werden von iptables nicht unterstützt.
 
Moin Moin... Was der Schalter -n bedeutet weiß ich auch @sf3978, deshalb habe ich das Beispiel ja gebracht , nur das mit den dynamischen DNS wusste ich nicht. Wobei ich nicht unbedingt glaube das es daran liegt da es jedesmal ist und die Adresse (IP) sich nicht geändert hat. Zumindest nicht bei allen. Allerdings das mit dnsmasq ist ein guter Tipp.

Merci und noch ein schönes WE.

EDIT:
Das Umleiten mit dnsmasq ist ja schön und gut an der Stelle wenn man Wesites komplett (für alle die die FB als DNS-Server nutzen) sperren will. Ich möchte das ganze aber nur für bestimmt Destination IP-Adressen / bestimmt Nutzer die über die FB surfen.
Und vorallem wenn diese dann eigene DNS Server eintragen können sie das locker umgehen.. Da ist die IPtables Varianta doch besser...?
 
Zuletzt bearbeitet:
Am sichersten ist das String-Matching, da werden alle durchgeleiteten Pakete nach Zeichnketten durchsucht. Damit ist eine DNS-Auflösung egal mit welchem Server nichtmehr möglich. Webseiten die sowas enthalten aber auch nicht mehr. Ich hab das auf der Fritzbox allerdings noch nicht ausprobiert
 
starmagoo schrieb:
Und vorallem wenn diese dann eigene DNS Server eintragen können sie das locker umgehen..
Zum Vergrößern anklicken....

Mit iptables kannst Du bestimmte (oder alle) Benutzer zwingen, den dnsmasq der FritzBox (und keine benutzereigene DNS-Server) zu benutzen.
 
hmm... ich sehe immer wieder ich muss noch viel lernen... Wie gesagt da fehlt noch viel Hintergrundwissen für IPtables... Danke für die Hinweise. Ich werds ausprobieren.

:eek:
 
@sf3978 hmm auf den ersten Blick offenbart sich mir da garnichts...

Ich hab da aber noch ein anderes Phänomen. Iptables klappt soweit ganz gut. Auch meine Regel laufen. Hab die Module und die Regel im Freetz WebIF eingetragen. Die läd er auch bei jedem neustart.

Was dann nach einem Plötzlichen neustart nicht mehr klappt sind zum Beispiel HTTP verbindungen von WLAN Geräten. Heißt: Die FB startet. Ich mit meinem PC der per Kabel verbunden ist (Ich vertraue nur Kabeln ;) ) der kann nach dem neustart wieder alles machen wie gehabt aber der Laptop der sich per WLAN wieder verbindet (ohne neu zu starten) bleibt bei aufruf einer Website hängen. Namens auflösung klappt, ICQ + MSN (MSN teils/teils) auch aber Browser nicht. Zumindest zeigt er mir in der Titelleiste die Website an. Demnach muss er wohl bis zum Server kommen aber die Website ansich läd er nicht... (ich vermute er holt den Titel aus dem Cache vom Browser)

Nach einem Neustart des Laptops selbes Problem.

Ich lösche alle Regeln, "iptables -F" und nun geht soweit alles wieder... Nicht alles aber fast...

Woran kann das liegen? Gibt es fürs WLAN extra Bedingungen?
 
Im Freetz-Web-IF, bei "Iptables: Rules" sollten die ersten 4 Zeilen wie folgt sein:
Code: 
-F
-F -t nat
-F -t mangle
-X
Wie aktivierst Du neue iptables-Regel bzw. wie überprüfst Du welche iptables-Regel wirksam sind?

Überprüfe mal ob sofort nach dem Neustart (Box oder Laptop), die WLAN-Verbindung schon zustande gekommen ist.
 
Das WebIF gibts bei der 7270 nicht. Kann ich die Regel auch direkt in die Konsole Hämmern? Was für Auswirkungen haben sie?

Ich meine es geht ja teils teils nur eben beim Latop über WLAN nicht und per Kabel gehts also ist es für mich kein generelles Problem!!!

Ich überprüfe die Regeln mittels "iptables -L". Die Wirksamkeit ermittel ich durch testen...

EDIT:
OK geile Sache ich konnte den Fehler jetzt eingrenzen. Es liegt wohl nicht an iptables da ich noch nicht einmal die Module geladen habe. Also Fakt ist der Laptop ist mit WLAN verbunden. Alles läuft ... fride freude eierkuchen ... aus einem fiktivien Grund startet die Box neu (Strom / zu wenig Speicher / etc...) Das WLAN was sich daraufhin wieder verbindet sobald die Box wieder ready ist hat danach Probleme ins Internet zukommen. Eingrenzen konnte ich das Problem derzeit hauptsächlich auf die verschiedenen Browser. DNS Auslösung klappt aber.

Problemlösung: Ich starte den Laptop neu muss aber das WLAN abschalten. Der Laptop fährt wieder hoch, ich melde mich an und erst dann starte ich das WLAN. Danach klappt auch wieder alles. Solche Dinge bringen einen echt zur Verzweiflung und ich bin fest davon überzeugt es ist erst seitdem ich iptables im Freetz habe bzw. seitdem ich den Trunk benutze!

Wäre schön wenn mir das jemand bestätigen kann!? Ich habe wie in der Signatur zu sehen eine 7270 mit trunk 3360 am laufen.

:noidea:
 
Zuletzt bearbeitet:

Anhänge

  • iptables_rules1.jpg
    iptables_rules1.jpg
    356.6 KB · Aufrufe: 20
Es ist Fakt, das cgi Interface kann ich auch nur auswählen wenn ich ne 7170 vorher gewählt habe!!! Probier es einfach mal aus... Wähle "Hardware Typ 7170" und geh zur Iptables Auswahl... Danach machst du das ganze mit ner 7270 und voilà kein CGI Interface zur Auswahl... *ätsch* :p

Das Problem wird allerdings immer graffierender und tritt auch ohne neustart auf :mad:

So ein wenig nervt es ja... Ich hab noch nen Ubuntu Laptop im Einsatz damit werd ich es auch mal Probieren. Eventuell kann man es aufs Vista schieben aber geholfen is mir damit auch nich.. :(
 
Auf der 7270 haben die Module andere Prefixe und /oder Namen. Da dies noch niemand angepasst, ist das CGI für Boxen mit dem neuen Kernel (zB 7270) deaktiviert
 
starmagoo schrieb:
Nabend...

Sobald ich Websites sperre, sie also hinzufüge oder anzeigen lasse macht er eine Namensauflösung. Das ist auch nicht verkehrt aber entweder braucht er zu lange oder bekommt keine Antwort denn es dauert ewig bis er mir die Regel anzeigt oder sie sogar hinzufügt....
Zum Vergrößern anklicken....

Ich habe das Verhaten bei iptables immer, wenn ich die Regeln listen lassen will, dauert es ziemlich lange - unabhängig von der Verwendung von DNS Namen in den Regeln. Das liegt wohl daran, dass die List - Funktion von sich aus ein reverse - lookup der ip-Adressen macht, um die Ergebnisse der Liste aufzuhübschen.

Oft sieht man da ganz andere DNS Namen stehen, als in der Regel eingestellt.

Die Laufzeitperformance ist davon aber unberührt, da intern nicht mit dns Namen gearbeitet wird, sondern mit (einmalig) aufgelösten ip Adressen.

Die Auflösung geschieht einmalig beim Erstellen der Regel, es können aus einer Anweisung mit dns Namen mehrere Einträge für verschiedene zugehörige ip Adressen generiert werden. Problematisch kann das für dyndns Einträge sein, da die Regeln scheinbar statisch generiert werden.

Dem kann man mit einem geeigneten cron job begegnen (Regelscript, Firewall sperren, alles löschen und alle Regeln neu). So was läuft unter einer Sekunde durch, man könnte es z.B. stündlich einplanen und damit dem dünn-dns Salat etgegenwirken. Man kann es sogar Unterbrechungsfrei hinbekommen, indem man einfach per cron script eine neue Kette generiert und diese dann wechselweise gegen die aktuelle in der FORWARD Chain mit dem Replace Schalter austauscht und die alte anschliessend löscht.
 
Ok das die DNS Namen anders aussehen als die PTR Einträge das liegt nunmal im ermessen des Providers für die IP Adressen bzw der Domäne. Als ISP kenne ich mich da ein klitzeklein wenig aus.. ;) Das stört mich auch nicht und die Auflösung hat bei mir so extrem lange gedauert da mein erster DNS-Server nicht richtig drin stand und er jedesmal versucht hat ihn zu erreichen und erst danach den zweiten. War demnach mein Fehler. Das läuft auch soweit.

Ich glaub für das andere Problem mach ich mal ein neues Thema auf. Das wird sonst so unübersichtlich.

Der Tipp mit den Cron jobs gefällt mir recht gut. Das überlege ich mir mal. Bis jetzt ist mein Regelwerk aber recht übersichtlich und von daher gehts auch erstmal...

EDIT:
Macht es eigentlich Sinn, nachdem iptables läuft, die AVM Firewall auch noch laufen zu lassen?
Wenn ich das Richtig sehe wird durch cando's Regelwerk alles wichtige abgedeckt!

http://www.freetz.org/wiki/packages/iptables

Demnach könnte man sie beenden oder spricht von euer Erfahrung da was dagegen?

Was spricht der Regelwerk Schreiber?
 
Zuletzt bearbeitet:
Hallo,

solange Du die Box als DSL Router betreibst und den dsld nicht durch etwas eigenes ersetzt wird, ist die "AVM Firewall" aktiv. Der dsld beinhaltet das NAT der Box (Network Address Translation) und kümmert sich um Port forewardings und so weiter.

Ich nutze beide Firewalls (in Serie) mit vollem Regelwerk auf Portebene, die feinere Abstimmung mache ich nur mit iptables (einzelne hosts erlauben, Rest sperren für bestimmte Protokolle).

Wie in der wiki beschrieben, es erhöht die Sicherheit ohne die Leistung zu sehr einzuschränken.
 
Ok als DSL Router nehme ich die Box auch, zumindest was die PPPoE Einwahl betrifft aber NAT und Forwarding kann iptables doch auch! Wo ist da das Problem? Oder Wird grundsätzlich nix mehr weitergeleitet wenn die Firewall (AVM) aus wäre da sie vor iptables sitzt?

Ich frage dies wegen der Schonung von Ressourcen...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 847 (Mitglieder: 30, Gäste: 817)

Neueste Beiträge

Statistik des Forums

Themen
244,869
Beiträge
2,219,851
Mitglieder
371,589
Neuestes Mitglied
pcmodum
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück