Hallo, ich habe seit längerer Zeit mal wieder iptables ausprobiert und wie in http://freetz.org/wiki/packages/iptables eingerichtet. Es scheint im Wesentlichen wieder zu funktionieren (7270 v2, Firmware: 54.06.05 rev27949 mit Replace-Kernel), wenn ich statt ip_conntrack nf_conntrack lade. Es gibt keine offensichtlichen Lade- oder Absturzprobleme. Sogar Log mit dmesg geht.
Einen Effekt verstehe ich aber nicht. Damit nicht alles sofort kaputt geht, logge ich die eigentlich zu verwerfenden Pakete und lasse sie dann doch durch. Ein normaler state- oder ctstate-RELATED,ESTABLISHED-Match nimmt aber nur etwa 2/3 der erwarteten Pakete an, die anderen würden eigentlich verworfen:
Im Log sehen die zu verwerfenden Pakete wie normale Mail- oder HTTP-Server-Antworten auf den erwarteten Ports aus. (Die zugehörigen ausgehenden Pakete habe ich auch mal testweise geloggt.)
Hat jemand eine Idee, was da los sein kann oder wie ich das Problem eingrenzen könnte? Kann das ein erwartetes Verhalten sein, weil CONFIG_GENERIC_CONNTRACK gesetzt ist oder müsste es eigentlich funktionieren?
Schonmal danke und beste Grüße
Einen Effekt verstehe ich aber nicht. Damit nicht alles sofort kaputt geht, logge ich die eigentlich zu verwerfenden Pakete und lasse sie dann doch durch. Ein normaler state- oder ctstate-RELATED,ESTABLISHED-Match nimmt aber nur etwa 2/3 der erwarteten Pakete an, die anderen würden eigentlich verworfen:
Code:
Chain TRANS (1 references)
pkts bytes target prot opt in out source destination
24186 2638K ACCEPT tcp -- any any 192.168.178.0/23 anywhere multiport dports 20,21,22,25,80,110,143,443,465,993,995,5060
198 15048 ACCEPT udp -- any any 192.168.178.0/23 anywhere multiport dports 53,67,68,80,123,5060
0 0 ACCEPT icmp -- any any 192.168.178.0/23 anywhere
12148 4690K ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED
6809 620K LOG all -- any any anywhere anywhere LOG level warning prefix "[IPT] DENY-LAN-ACCESS "Hat jemand eine Idee, was da los sein kann oder wie ich das Problem eingrenzen könnte? Kann das ein erwartetes Verhalten sein, weil CONFIG_GENERIC_CONNTRACK gesetzt ist oder müsste es eigentlich funktionieren?
Schonmal danke und beste Grüße