IPv4 conntrack/REJECT mit openwrt-19.07

Adrian Schmutzler mail at adrianschmutzler.de
Mi Okt 9 18:14:49 CEST 2019 

Hallo nochmal,

 

man muss nur drüber schreiben, dann findet man die Lösung.

 

Funktioniert alles wunderbar. Es funktioniert nur dann nicht, wenn man es auf einem one-Port testet, der kein $IF_WAN hat.

 

Sollte man mal einen Check einbauen, dann sind auch die Fehler nicht mehr im Bootlog.

 

Grüße

 

Adrian

 

From: franken-dev [mailto:franken-dev-bounces at freifunk.net] On Behalf Of Adrian Schmutzler
Sent: Mittwoch, 9. Oktober 2019 18:08
To: franken-dev at freifunk.net
Subject: IPv4 conntrack/REJECT mit openwrt-19.07

 

Tach, 

ich habe gerade festgestellt, dass mit openwrt-19.07-basierter Knoten-Firmware conntrack bei den IPv4 iptables nicht mehr funktioniert und REJECT bei iptables und ip6tables:

root at FF-BTL-Adrian-AC-Mesh:~# iptables -A INPUT -i $IF_WAN -j REJECT 
Bad argument `REJECT' 
Try `iptables -h' or 'iptables --help' for more information. 

root at FF-BTL-Adrian-AC-Mesh:~# iptables -A FORWARD -o $IF_WAN -j REJECT --reject- 
with icmp-net-unreachable 
Bad argument `REJECT' 
Try `iptables -h' or 'iptables --help' for more information. 

root at FF-BTL-Adrian-AC-Mesh:~# iptables -A INPUT -i $IF_WAN -m conntrack --ctstat 
e RELATED,ESTABLISHED -j ACCEPT 
Bad argument `conntrack' 
Try `iptables -h' or 'iptables --help' for more information. 

root at FF-BTL-Adrian-AC-Mesh:~# ip6tables -A FORWARD -o $IF_WAN -j REJECT --reject 
-with no-route 
Bad argument `REJECT' 
Try `ip6tables -h' or 'ip6tables --help' for more information. 

ip6tables mit conntrack geht: 

root at FF-BTL-Adrian-AC-Mesh:~# /usr/sbin/ip6tables -A INPUT -p tcp --dport 22 -m 
conntrack --ctstate NEW -m recent --set --name dropbear 

root at FF-BTL-Adrian-AC-Mesh:~# /usr/sbin/ip6tables -A INPUT -p tcp --dport 22 -m 
conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 6 --rttl --na 
me dropbear -j DROP 

 

Ich habe das erst für ein Dependency-Problem gehalten, aber konnte nichts diezbezüglich finden. Ein explizites Einbinden von

+kmod-nf-conntrack6 +kmod-nf-conntrack +kmod-nf-reject +kmod-nf-reject6 
hat auch nichts geändert. 

Hat jemand eine Idee? 

Grüße 

Adrian 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20191009/d131127b/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : openpgp-digital-signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 834 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20191009/d131127b/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev