(gelöst)Tolino, ADE, Debian-Router, Speedport W724V

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
guennid

(gelöst)Tolino, ADE, Debian-Router, Speedport W724V

Beitrag von guennid » 02.01.2017 14:24:29

Weiß jemand, wie man eine Paketfilterkonfiguration via shorewall auf einem Debian-Router vorübergehend komplett abschaltet?

Hintergrund: Es gelingt mir zwar, Online-Ausleihen von e-books auf meinen Tolino Shine HD 2 zu transferieren (ACSM-Files), es gelingt aber nicht, diese auf dem Reader in lesbare epubs umzuwandeln, obwohl der Tolino mit dem Heimnetz per wlan verbunden ist. Tätige ich die Ausleihen in einem fremden Netz, dann tut der Tolino das Gewünschte. Wenn ich recht erinnere, funktioniert sogar: Herunterladen des ACSM-Files auf einen Rechner in meinem Netz, Verschieben auf den Tolino und dann Umwandlung im fremden Netz. Ich möchte testen, ob die Paketfiltereinstellungen auf meinem Router dafür verantwortlich sind.

Grüße, Günther
Zuletzt geändert von guennid am 06.01.2017 16:37:15, insgesamt 2-mal geändert.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: shorewall temporär ausschalten

Beitrag von schwedenmann » 02.01.2017 14:53:37

Hallo


ftp://shorewall.net/archives/website/1. ... rewall.htm


mfg
schwedenmann


stop oder eben clear (dann ist aber afaik die ganze Konfiguartion weg!)

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: shorewall temporär ausschalten

Beitrag von dufty2 » 02.01.2017 15:07:18

schwedenmann hat geschrieben:oder eben clear (dann ist aber afaik die ganze Konfiguartion weg!)
Nunja, ganz so schlimm ist es nicht ;)

Was guennid wohl haben möchte ist

Code: Alles auswählen

# iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Das erreicht man eben über "shorewall stop; shorewall clear".
(oder über "systemctl stop shorewall.service; iptables -P INPUT ACCEPT; iptables -F INPUT; etc.)

Das Problem ist, wenn man shorewall einfach nur runterfährt, "restore"d jenes wieder ein paar Regeln
- und ich weiß jetzt nicht, woher er sich jene zieht - und hat nicht obigen Idealzustand.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: shorewall temporär ausschalten

Beitrag von rendegast » 02.01.2017 15:12:02

Und leider gibt es auch noch Pakete, die am netfilter herumschrauben, von denen mensch es erstmal nicht annimmt.
ZBsp. libvirt.

Ein einfaches flush kann dann die VMs vom Netzwerk trennen.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

guennid

Re: shorewall temporär ausschalten

Beitrag von guennid » 02.01.2017 15:24:19

Danke für die Rückmeldungen.

duftys code verstehe ich eh nicht - nicht umsonst benutze ich shorewall. Oder ist gemeint: Mit

Code: Alles auswählen

iptables -L -n -v
stoppe ich die firewall ohne sie kaputt zu machen? Wie wird sie dann "repariert"?

Kann das mit "stop" in meinem Fall überhaupt funktionieren? Soweit ich shorewall verstehe, funktioniert das doch so, dass der Konfigurator beim Start der Maschine die Regeln erstellt. - Dann sind sie da. Dass das stop sie wieder "zurücknimmt", kann ich mir schlecht vorstellen. Kurz gesagt: Mir ist die Wirkung von stop nicht klar.

Und bis "clear" war ich auch schon. Aber wenn schon nicht "ganz so schlimm", WIE schlimm denn? anders gesagt, wie stelle ich den den Zustand wieder her. Ich will die Regeln ja nur vorübergehned deaktivieren.

Ich hab's mit /etc/default/shorewall versucht, aber das legt den Router komplett lahm, Internet geht nicht mehr.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: shorewall temporär ausschalten

Beitrag von dufty2 » 02.01.2017 16:31:55

Oops, Du hast ja einen Router. Im Eifer des Gefechts ganz überlesen ;)
Möglicherweise brauchst Du auch im "Durchlass-betrieb" einige NAT-Regeln.

Was mir jetzt noch als relativ einfache Maßnahme einfällt:
In der Datei /etc/shorewall/policy die Zeile
net all DROP info
in
net all ACCEPT info
ummanschlen.
Weis aber nicht, ob das in Deiner Konfig helfen würde.

# iptables -L -n -v
fährt keine shorewall/firewall runter, sondern zeigt einfach nur die aktuellen Regeln des kernels an.

guennid

Re: shorewall temporär ausschalten

Beitrag von guennid » 02.01.2017 19:32:32

Code: Alles auswählen

net	 all	 ACCEPT	 info
Das werde ich mal versuchsweise probieren. Und schauen, ob das ADE genehmer ist. Das macht dann aber wohl den Router zum offenen Scheunentor - richtig?

TomL

Re: shorewall temporär ausschalten

Beitrag von TomL » 02.01.2017 20:48:58

Hi Guenther

Wenn das bei Dir einer der üblichen Rechner ohne systemd ist, wird shorewall doch über sysvinit gestartet. Das kann man doch einfach kontrollieren. Müsste nicht

Code: Alles auswählen

service shorewall status
anzeigen, was mit dem Dienst los ist? Und wenn er als "aktiv" angezeigt wird, sollte er sich doch einfach mit

Code: Alles auswählen

service shorewall stop
für die aktuelle Sitzung stoppen lassen. Ausgeplant ist der Start damit nicht, die Firewall wird beim nächsten Start ganz normal wieder gestartet.

Und wenn sie gestoppt ist, kann man kontrollieren, ob Iptables gesetzt sind:

Code: Alles auswählen

iptables -L -nv
Und falls nach dem Stop des Services immer noch welche gesetzt sind, würd ich die -gar nicht feige *fg*- einfach löschen:

Code: Alles auswählen

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
Wenn shorewall nur normale iptables anlegt, sollte da eigentlich nix kaputt gehen... der Dienst ist entweder gestoppt oder ist als OneShot gar nicht als Daemon aktiv. Also ich glaub, dass das gefahrlos ist.... aber ich bin da auch eher experimentierfreudig... und repariers halt, wenns platt ist :D

guennid

Re: shorewall temporär ausschalten

Beitrag von guennid » 04.01.2017 13:17:21

Also, ändern der shorewall-policy hat nichts gebracht. Der Tolino bringt nach wie vor die Fehlermeldung

Code: Alles auswählen

E_ADEPT_NO_FULLFILLMENT_RESULT
.

Thomas' Idee mit "service shorewall stop" funktioniert auch nicht, da das den Internetzugang kappt.

Ich denke, ich breche die shorewall-Versuche ab.

Zwei Ideen habe ich noch: Als AP verwende ich so'n Billigteil in der Steckdose. Sollte ich mal einen anderen versuchen?

Sollte ich den Debian-Router mal ausklammern und versuchen, den AP direkt mit dem Telekom-Router zu verbinden?

Um möglicherweise überflüssigen Rückfragen vorzubeugen: Ich hatte mit meiner Netzwerkkonfiguration bisher keine Probleme - außer diesem DRM-Mist - was nicht heißen soll, dass die perfekt wäre. Dazu bin ich zu unbedarft.

BenutzerGa4gooPh

Re: shorewall temporär ausschalten

Beitrag von BenutzerGa4gooPh » 04.01.2017 13:24:01

Nu ja, die Router-FW-Viren-Aluhut-Aluburka-Fraktion im DF ist immer höflich, vlt. zu höflich: Also los jetzt, Günther!!!
Probiere endlich mal eine Hardware-Router-Firewall-Kombination (Distribition) aus - und lass dein Debian, egal mit und ohne systemd in Ruhe. "Sonderknack" macht ja genug Mühe.
guennid zuliebe nacheditiert. :wink:
Zuletzt geändert von BenutzerGa4gooPh am 04.01.2017 13:30:54, insgesamt 2-mal geändert.

guennid

Re: shorewall temporär ausschalten

Beitrag von guennid » 04.01.2017 13:26:20

Janna66 hat geschrieben:Nu ja, die Router-FW-Viren-Fraktion ist immer höflich, vlt. zu höflich: Also los jetzt, Günther!!!
Probiere endlich mal eine Hardware-Router-Firewall-Kombination (Distribition) aus - und lass dein Debian, egal mit und ohne systemd in Ruhe. :wink:
Versteh' ich das :?: :?

BenutzerGa4gooPh

Re: shorewall temporär ausschalten

Beitrag von BenutzerGa4gooPh » 04.01.2017 13:27:41

Wenn nicht, auch nicht schlimm. :mrgreen:

guennid

Re: shorewall temporär ausschalten

Beitrag von guennid » 04.01.2017 14:59:53

Speedport 724 direkt hat funktioniert, wie man lesen kann. Immerhin gibt's jetzt 'ne neue Fehlermeldung: E_STREAM_ERROR :twisted: :twisted: :twisted:

Ergo gehe ich doch wohl recht in der Annahme, dass der Speedport der Übeltäter ist - richtig?

guennid

Re: shorewall temporär ausschalten

Beitrag von guennid » 06.01.2017 16:34:26

So, die Sache ist einstweilen geklärt, von Lösung mag ich eigentlich nicht sprechen: ADE/Telekom mag es bei diesem Speedport 724 offenbar nicht, wenn dieser nicht selbst AP ist. Ich habe jetzt mal testweise WLAN und DHCP-Server (auch den verlangt der Tolino. Statische IP-Vergabe nicht möglich) auf dem Speedport aktiviert und meinen eigenen AP deaktiviert, dieses "neue" WLAN auf dem Tolino aktiviert und daraufhin hat ADE dann auch die Ebooks auf dem Tolino lesbar gemacht.

Grüße, Günther

Antworten