(gelöst)Tolino, ADE, Debian-Router, Speedport W724V
(gelöst)Tolino, ADE, Debian-Router, Speedport W724V
Weiß jemand, wie man eine Paketfilterkonfiguration via shorewall auf einem Debian-Router vorübergehend komplett abschaltet?
Hintergrund: Es gelingt mir zwar, Online-Ausleihen von e-books auf meinen Tolino Shine HD 2 zu transferieren (ACSM-Files), es gelingt aber nicht, diese auf dem Reader in lesbare epubs umzuwandeln, obwohl der Tolino mit dem Heimnetz per wlan verbunden ist. Tätige ich die Ausleihen in einem fremden Netz, dann tut der Tolino das Gewünschte. Wenn ich recht erinnere, funktioniert sogar: Herunterladen des ACSM-Files auf einen Rechner in meinem Netz, Verschieben auf den Tolino und dann Umwandlung im fremden Netz. Ich möchte testen, ob die Paketfiltereinstellungen auf meinem Router dafür verantwortlich sind.
Grüße, Günther
Hintergrund: Es gelingt mir zwar, Online-Ausleihen von e-books auf meinen Tolino Shine HD 2 zu transferieren (ACSM-Files), es gelingt aber nicht, diese auf dem Reader in lesbare epubs umzuwandeln, obwohl der Tolino mit dem Heimnetz per wlan verbunden ist. Tätige ich die Ausleihen in einem fremden Netz, dann tut der Tolino das Gewünschte. Wenn ich recht erinnere, funktioniert sogar: Herunterladen des ACSM-Files auf einen Rechner in meinem Netz, Verschieben auf den Tolino und dann Umwandlung im fremden Netz. Ich möchte testen, ob die Paketfiltereinstellungen auf meinem Router dafür verantwortlich sind.
Grüße, Günther
Zuletzt geändert von guennid am 06.01.2017 16:37:15, insgesamt 2-mal geändert.
-
- Beiträge: 5535
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: shorewall temporär ausschalten
Hallo
ftp://shorewall.net/archives/website/1. ... rewall.htm
mfg
schwedenmann
stop oder eben clear (dann ist aber afaik die ganze Konfiguartion weg!)
ftp://shorewall.net/archives/website/1. ... rewall.htm
mfg
schwedenmann
stop oder eben clear (dann ist aber afaik die ganze Konfiguartion weg!)
Re: shorewall temporär ausschalten
Nunja, ganz so schlimm ist es nichtschwedenmann hat geschrieben:oder eben clear (dann ist aber afaik die ganze Konfiguartion weg!)
Was guennid wohl haben möchte ist
Code: Alles auswählen
# iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
(oder über "systemctl stop shorewall.service; iptables -P INPUT ACCEPT; iptables -F INPUT; etc.)
Das Problem ist, wenn man shorewall einfach nur runterfährt, "restore"d jenes wieder ein paar Regeln
- und ich weiß jetzt nicht, woher er sich jene zieht - und hat nicht obigen Idealzustand.
Re: shorewall temporär ausschalten
Und leider gibt es auch noch Pakete, die am netfilter herumschrauben, von denen mensch es erstmal nicht annimmt.
ZBsp. libvirt.
Ein einfaches flush kann dann die VMs vom Netzwerk trennen.
ZBsp. libvirt.
Ein einfaches flush kann dann die VMs vom Netzwerk trennen.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: shorewall temporär ausschalten
Danke für die Rückmeldungen.
duftys code verstehe ich eh nicht - nicht umsonst benutze ich shorewall. Oder ist gemeint: Mit stoppe ich die firewall ohne sie kaputt zu machen? Wie wird sie dann "repariert"?
Kann das mit "stop" in meinem Fall überhaupt funktionieren? Soweit ich shorewall verstehe, funktioniert das doch so, dass der Konfigurator beim Start der Maschine die Regeln erstellt. - Dann sind sie da. Dass das stop sie wieder "zurücknimmt", kann ich mir schlecht vorstellen. Kurz gesagt: Mir ist die Wirkung von stop nicht klar.
Und bis "clear" war ich auch schon. Aber wenn schon nicht "ganz so schlimm", WIE schlimm denn? anders gesagt, wie stelle ich den den Zustand wieder her. Ich will die Regeln ja nur vorübergehned deaktivieren.
Ich hab's mit /etc/default/shorewall versucht, aber das legt den Router komplett lahm, Internet geht nicht mehr.
duftys code verstehe ich eh nicht - nicht umsonst benutze ich shorewall. Oder ist gemeint: Mit
Code: Alles auswählen
iptables -L -n -v
Kann das mit "stop" in meinem Fall überhaupt funktionieren? Soweit ich shorewall verstehe, funktioniert das doch so, dass der Konfigurator beim Start der Maschine die Regeln erstellt. - Dann sind sie da. Dass das stop sie wieder "zurücknimmt", kann ich mir schlecht vorstellen. Kurz gesagt: Mir ist die Wirkung von stop nicht klar.
Und bis "clear" war ich auch schon. Aber wenn schon nicht "ganz so schlimm", WIE schlimm denn? anders gesagt, wie stelle ich den den Zustand wieder her. Ich will die Regeln ja nur vorübergehned deaktivieren.
Ich hab's mit /etc/default/shorewall versucht, aber das legt den Router komplett lahm, Internet geht nicht mehr.
Re: shorewall temporär ausschalten
Oops, Du hast ja einen Router. Im Eifer des Gefechts ganz überlesen
Möglicherweise brauchst Du auch im "Durchlass-betrieb" einige NAT-Regeln.
Was mir jetzt noch als relativ einfache Maßnahme einfällt:
In der Datei /etc/shorewall/policy die Zeile
net all DROP info
in
net all ACCEPT info
ummanschlen.
Weis aber nicht, ob das in Deiner Konfig helfen würde.
# iptables -L -n -v
fährt keine shorewall/firewall runter, sondern zeigt einfach nur die aktuellen Regeln des kernels an.
Möglicherweise brauchst Du auch im "Durchlass-betrieb" einige NAT-Regeln.
Was mir jetzt noch als relativ einfache Maßnahme einfällt:
In der Datei /etc/shorewall/policy die Zeile
net all DROP info
in
net all ACCEPT info
ummanschlen.
Weis aber nicht, ob das in Deiner Konfig helfen würde.
# iptables -L -n -v
fährt keine shorewall/firewall runter, sondern zeigt einfach nur die aktuellen Regeln des kernels an.
Re: shorewall temporär ausschalten
Code: Alles auswählen
net all ACCEPT info
Re: shorewall temporär ausschalten
Hi Guenther
Wenn das bei Dir einer der üblichen Rechner ohne systemd ist, wird shorewall doch über sysvinit gestartet. Das kann man doch einfach kontrollieren. Müsste nicht
anzeigen, was mit dem Dienst los ist? Und wenn er als "aktiv" angezeigt wird, sollte er sich doch einfach mit
für die aktuelle Sitzung stoppen lassen. Ausgeplant ist der Start damit nicht, die Firewall wird beim nächsten Start ganz normal wieder gestartet.
Und wenn sie gestoppt ist, kann man kontrollieren, ob Iptables gesetzt sind:
Und falls nach dem Stop des Services immer noch welche gesetzt sind, würd ich die -gar nicht feige *fg*- einfach löschen:
Wenn shorewall nur normale iptables anlegt, sollte da eigentlich nix kaputt gehen... der Dienst ist entweder gestoppt oder ist als OneShot gar nicht als Daemon aktiv. Also ich glaub, dass das gefahrlos ist.... aber ich bin da auch eher experimentierfreudig... und repariers halt, wenns platt ist
Wenn das bei Dir einer der üblichen Rechner ohne systemd ist, wird shorewall doch über sysvinit gestartet. Das kann man doch einfach kontrollieren. Müsste nicht
Code: Alles auswählen
service shorewall status
Code: Alles auswählen
service shorewall stop
Und wenn sie gestoppt ist, kann man kontrollieren, ob Iptables gesetzt sind:
Code: Alles auswählen
iptables -L -nv
Code: Alles auswählen
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
Re: shorewall temporär ausschalten
Also, ändern der shorewall-policy hat nichts gebracht. Der Tolino bringt nach wie vor die Fehlermeldung .
Thomas' Idee mit "service shorewall stop" funktioniert auch nicht, da das den Internetzugang kappt.
Ich denke, ich breche die shorewall-Versuche ab.
Zwei Ideen habe ich noch: Als AP verwende ich so'n Billigteil in der Steckdose. Sollte ich mal einen anderen versuchen?
Sollte ich den Debian-Router mal ausklammern und versuchen, den AP direkt mit dem Telekom-Router zu verbinden?
Um möglicherweise überflüssigen Rückfragen vorzubeugen: Ich hatte mit meiner Netzwerkkonfiguration bisher keine Probleme - außer diesem DRM-Mist - was nicht heißen soll, dass die perfekt wäre. Dazu bin ich zu unbedarft.
Code: Alles auswählen
E_ADEPT_NO_FULLFILLMENT_RESULT
Thomas' Idee mit "service shorewall stop" funktioniert auch nicht, da das den Internetzugang kappt.
Ich denke, ich breche die shorewall-Versuche ab.
Zwei Ideen habe ich noch: Als AP verwende ich so'n Billigteil in der Steckdose. Sollte ich mal einen anderen versuchen?
Sollte ich den Debian-Router mal ausklammern und versuchen, den AP direkt mit dem Telekom-Router zu verbinden?
Um möglicherweise überflüssigen Rückfragen vorzubeugen: Ich hatte mit meiner Netzwerkkonfiguration bisher keine Probleme - außer diesem DRM-Mist - was nicht heißen soll, dass die perfekt wäre. Dazu bin ich zu unbedarft.
Re: shorewall temporär ausschalten
Nu ja, die Router-FW-Viren-Aluhut-Aluburka-Fraktion im DF ist immer höflich, vlt. zu höflich: Also los jetzt, Günther!!!
Probiere endlich mal eine Hardware-Router-Firewall-Kombination (Distribition) aus - und lass dein Debian, egal mit und ohne systemd in Ruhe. "Sonderknack" macht ja genug Mühe.
guennid zuliebe nacheditiert.
Probiere endlich mal eine Hardware-Router-Firewall-Kombination (Distribition) aus - und lass dein Debian, egal mit und ohne systemd in Ruhe. "Sonderknack" macht ja genug Mühe.
guennid zuliebe nacheditiert.
Zuletzt geändert von BenutzerGa4gooPh am 04.01.2017 13:30:54, insgesamt 2-mal geändert.
Re: shorewall temporär ausschalten
Versteh' ich dasJanna66 hat geschrieben:Nu ja, die Router-FW-Viren-Fraktion ist immer höflich, vlt. zu höflich: Also los jetzt, Günther!!!
Probiere endlich mal eine Hardware-Router-Firewall-Kombination (Distribition) aus - und lass dein Debian, egal mit und ohne systemd in Ruhe.
Re: shorewall temporär ausschalten
Speedport 724 direkt hat funktioniert, wie man lesen kann. Immerhin gibt's jetzt 'ne neue Fehlermeldung: E_STREAM_ERROR
Ergo gehe ich doch wohl recht in der Annahme, dass der Speedport der Übeltäter ist - richtig?
Ergo gehe ich doch wohl recht in der Annahme, dass der Speedport der Übeltäter ist - richtig?
Re: shorewall temporär ausschalten
So, die Sache ist einstweilen geklärt, von Lösung mag ich eigentlich nicht sprechen: ADE/Telekom mag es bei diesem Speedport 724 offenbar nicht, wenn dieser nicht selbst AP ist. Ich habe jetzt mal testweise WLAN und DHCP-Server (auch den verlangt der Tolino. Statische IP-Vergabe nicht möglich) auf dem Speedport aktiviert und meinen eigenen AP deaktiviert, dieses "neue" WLAN auf dem Tolino aktiviert und daraufhin hat ADE dann auch die Ebooks auf dem Tolino lesbar gemacht.
Grüße, Günther
Grüße, Günther