Damit man iptables verwenden kann müssen die entsprechenden Kernel-Module in den DS-MOD eincompiliert sein. Bei der Auswahl der Module aus der Unzahl der Möglichkeiten kann hilfreich sein, firewall-cgi zu aktivieren, auch wenn es dann nicht benutzt wird. Die wichtigsten iptables-Module werden dann automatisch eincompiliert.
Wer kann hier ergänzen, welche Module man wofür braucht?
Es kommt halt immer darauf an, was du machen willst. Niemand kann dir eine generelle Antwort geben, was du brauchst. Ich würde einfach mal eine Firewall drauflos schreiben und wenn er meckert die entsprechende Lib nach /mod/lib/ kopieren und die Kernel Module mit insmod nachladen. klappt dann alles, erstellst du die Firmware nochmal mit allen Libs und Modulen, die du explizit nachladen mußtest. iptables läd automatisch Kernel Module nach, wenn sie vorhanden und benötigt werden.
z.B.
host# scp ../ds-0.2.5/kernel/root/usr/lib/iptables/libipt_limit.so root@fritz:/mod/lib fritz# iptables -m limit -h host# scp ../ds-0.2.5/kernel/modules-4mb/lib/modules/2.4.17_mvl21-malta-mips_fp_le/kernel/net/ipv4/netfilter/iptable_nat.o root@fritz:/mod/lib fritz# insmod insmod /mod/lib/iptable_nat.o
siehe auch How to: WLAN von LAN trennen mit iptables
Nach Laden des Conntack-Moduls weist der Kernel immer wieder Pakete mit “…ip_conntrack_tcp: INVALID: invalid TCP flag combinat“ o.ä. ab. Das ist ja gut so. Aber warum kommen die nicht an den iptables-Chains vorbei? Das scheint vorher zu passieren.
danisahne schreibt dazu: Das ist schon mehreren aufgefallen. Ich habe keine Ahnung (hab mich noch nicht genauer damit beschäftigt, warum diese Pakete als INVALID erkannt werden. Tatsache ist, dass deswegen das forewall-cgi Paket nicht zusammen mit der Telefonie funktioniert. Ist quasi noch ein offener Bug.
UPDATE: Das Problem sollte ab Version 0.2.7 gelöst sein. Verbindungen, die vor dem Laden des iptables conntrack Moduls aufgebaut wurden, werden dann als INVALID erkannt. Der Workaround in 0.2.7 läd diese Module im Skript modload, falls sie mitinstalliert wurden. – danisahne
ds26: Die Module werden nicht automatisch geladen. Mit geladenem ip_conntrack stürtzt meine Box nach ca. 3h ab. Ich hab den dsld im Verdacht. Aber hier müsste mal jemand weiterforschen… – olistudent