VDSL Router konfigurieren und änderung speichern

Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen rund um Internet-Zugänge via ADSL und xDSL (alle DSL-basierenden Technologien).

Diskussionen über Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER geführt.

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » Sa 26 Jul, 2014 18:34

zid hat geschrieben:aja:
>"...Was bringt mir das wenn ich in meinen internen Netzwerk eine nicht zugewisse Adresse nütze, ist trotzdem der port von aussen offen..."
der port bleibt natürlich offen, er ist aber nicht mehr von außen zugänglich (bis auf eine ganz spezielle konstellation, ich komm noch drauf zurück).
der LZ hat sich ca. folgendes überlegt:
1. man kann mit iptables zwar den tcp/30005 blocken, die einstellung kann aber nicht fixiert werden. ergo
2. wir verwenden die input chain gar nicht. wie kann man die input chain umgehen?
3. man richtet eine weiterleitung des tcp/30005 auf eine freie/nicht verwendete ip im lan ein. diese weiterleitung kann übers webgui eingerichtet und fixiert werden. und dann passiert folgendes:
4. ein syn-packerl auf tcp/30005 kommt rein und durchläuft zuerst mal die prerouting chain. in der prerouting chain gibts die weiterleitung des tcp/30005 zu einer nicht verwendeten ip im lan, sie soll jetzt beispielhaft 192.168.1.189 lauten. das nat-modul nagelt jetzt diese ip in den ip header des syn, und dann kommts zur routing-entscheidung, bei der festgestellt wird, daß das packerl fürs lan bestimmt, i.e. transit traffic ist. das packerl wird also in die forward chain geschickt- die offene input chain kommt nicht mehr zum zug, weil die für den self traffic zuständig is. die forward chain is zwar auch offen, sodaß das packerl ungehindert in richtung lan passieren kann. nur danach gibts ein zartes prob- die ip 192.168.1.189 existiert nicht im lan, wurde ja genau so gewählt. a echt blede gschicht... :D

dieser ansatz kann nur scheitern, wenn eine konstellation dieses kalibers vorliegt:

Code: Alles auswählen
...
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 30005 -j DNAT --to-destination 127.0.0.1
...
und dann erst nachgelagert die weiterleitung vom webgui:
...
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 30005 -j DNAT --to-destination 192.168.1.189
...

die dst-ip wird also auf 127.0.0.1 übersetzt und durchläuft damit die offene input chain in richtung lokaler prozeß...
das nachgelagerte target mit der weiterleitung auf die blind ip greift nicht mehr....

lg
zid


Hi Zid

das erinnert mich I hacked 127.0.0.1 :rofl: :rotfl: Die M4tr1x-Trilogie :lol: Link: http://www.stophiphop.com/item/82-m4tr1x-trilogie-ein-hip-hop-hacker-schl%C3%A4gt-zu

Das mit denn 127.0.0.1 :lol:

Aber auch keine Schlechte Lösung, bist echt gut in denn Dingen :)
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » Sa 26 Jul, 2014 18:54

:angelgrin: :banghead: ich bin so ein D**p ich kann ewig drin sein :D darf halt nicht denn exitonidle vorher machen, manchmal glaub ich echt bin von begriff :banghead2: nur echo && bash eingeben und abgeht es halt busybox und env dann die auflistung ls -l alles prima, dann hab ich jetzt auch denn Supervisor Daten auch schon. Nur sagen die richtige befehl damit ich die änderung die ich in IPTables vornehmen würklich gespeichert werden und auch bei reboot, ein/ausschaltung oder stromausfall dann auch klappt und die einstellung behält!

YEAH wir sind ganz nahe :D :partyfreak: :clap:

lol doch nicht ;| er hat sich doch aus der busybox nach ne minute gehaut dachte ohne idle einstellung muss das gehen ;|

sowas dämliches :( :-?
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » So 27 Jul, 2014 12:45

Hmmm :( Weis keiner von euch wie ich das in der busybox und so mach kann. :-?

Bei befehl iptables-save schreibt er not found ^^ obwohl da iptables läuft und einige verzeichnisse gibt! Angeblich muss man denn irgendwie implentieren bzw. installieren denn iptables-save und iptables-restore. Wie geht das denn! Hab aber auch irgendwo gelesen das gewisse router von zyxel und durch denn kernel oder so nicht geht und dann eher die Konfigdatei also direkt die datei editieren muss und abspeichern weis nicht wo die datei von iptables ist und wie die heißt und ob es mit .sh oder .conf oder was auch immer heißt und wie man das dann anders abspeicher! :-? Mann oh Mann, warum macht ZyXEL immer so kompliziert einmal dieses FreeBSD-Variante unnd dann mal wieder andere und dann auch andere CLI/Shell Commands, da hat man ja echt kein durchblick mehr, denn andere Handbücher von ZyXEL Geräte gleich nutzlos. :-? Die soll nen einheitlichen und nicht so rumeiern und immer herum mixen und das lustige ist ein älters gerät hat ne neuere IPtables Version und auch älter Firemware und bei mir neues gerät und nicht so altes firmware und trotzdem älters IPtables und nicht nur das, also ich weis nicht wie die da arbeit und klar kommen bei ZyXEL -.-* Ich hoffe es findet einer endlich mal ne lösung denn ich verstehe nur bahnhof mehr. Bin kein Linux Profi aber etwas kenne ich mich etwas aus durch nutzung und auch einige erfahrung aber naja man sieht hab lange nix mehr mit Linux zu tun gehabt, denn ich merk es wird immer komplexer! -.-* und halt eingerostet und auch so sehr das ich nur noch bahnhof verstehe^^ Ich bin schon mit der sache ziemlich genervt und hoffe das endlich hier einer mit ne funktionierte Lösung kommt :cry:
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon jutta » So 27 Jul, 2014 13:43

> Hab aber auch irgendwo gelesen das gewisse router von zyxel und durch denn kernel oder so nicht geht und dann eher die Konfigdatei also direkt die datei editieren muss und abspeichern weis nicht wo die datei von iptables ist und wie die heißt und ob es mit .sh oder .conf oder was auch immer heißt und wie man das dann anders abspeicher! :-?

ich wuerde einmal in /etc/iptables/ schauen. und dann auch gleich kontrollieren, wie die dateirechte in dem verzeichnis sind. ich habe die rules.v4 nach dieser anleitung in /etc/iptables/ angelegt http://www.thomas-krenn.com/en/wiki/Sav ... ermanently
funktionierte aber auch erst beim 2. oder 3. versuch, iirc. und bei mir ist das kein router, sondern ein pc mit einer etwas aelteren debian-version drauf.
soweit ich mich erinnern kann, musste ich zuerst einmal manuell eine leere rules.v4 datei anlegen und dann hat auch das sichern funktioniert. [update: siehe aber weiter unten!]

ansonsten: nicht so ungeduldig sein. du wolltest ja einen eigenen router und du willst dich nicht auf die befehle beschraenken, die via web-if moeglich sind. also wirst du dich da durchbeissen muessen. dafuer kannst du nachher stolz sein :)

anleitungen fuer die busybox findet man uebrigens haufenweis in foren und blogs, wo es um die fritzbox oder um diverse nas geht. da laeuft das ding ja ueberall drauf.

//edit ps: nachdem ich bei dem von dir geposteten link http://tjworld.net/wiki/Zyxel/VDSL_IAD ein bisschen gelesen habe: was passiert, wenn du einfach "save" eintippst? was speichert es da?

die commands iptables-save und iptables-restore scheinen nicht installiert zu sein http://tjworld.net/attachment/wiki/Zyxe ... tables.log also kein wunder, dass du eine fehlermeldung bekommst.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » So 27 Jul, 2014 15:46

Jutta hat geschrieben:> > Hab aber auch irgendwo gelesen das gewisse router von zyxel und durch denn kernel oder so nicht geht und dann eher die Konfigdatei also direkt die datei editieren muss und abspeichern weis nicht wo die datei von iptables ist und wie die heißt und ob es mit .sh oder .conf oder was auch immer heißt und wie man das dann anders abspeicher! :-?

ich wuerde einmal in /etc/iptables/ schauen. und dann auch gleich kontrollieren, wie die dateirechte in dem verzeichnis sind. ich habe die rules.v4 nach dieser anleitung in /etc/iptables/ angelegt http://www.thomas-krenn.com/en/wiki/Sav ... ermanently
funktionierte aber auch erst beim 2. oder 3. versuch, iirc. und bei mir ist das kein router, sondern ein pc mit einer etwas aelteren debian-version drauf.
soweit ich mich erinnern kann, musste ich zuerst einmal manuell eine leere rules.v4 datei anlegen und dann hat auch das sichern funktioniert. [update: siehe aber weiter unten!]

ansonsten: nicht so ungeduldig sein. du wolltest ja einen eigenen router und du willst dich nicht auf die befehle beschraenken, die via web-if moeglich sind. also wirst du dich da durchbeissen muessen. dafuer kannst du nachher stolz sein :)


Das Problem ist nur es gibt kein /etc/iptables/ und es gibt auch keine rules.v4 oder wie kann ich suchen denn nur auf /bin/iptables und auch als executable also ne exe-datei bzw. anwendungsdatei. Einige Forum schreiben das dies iptables-save und iptables-restore ein eigenes package oder und modul ist das geladen werden muss wie modul ip_tables oder modul iprule usw. keine ahnung kann sein das diese package oder modul nicht geladen ist und irgendwas mit iptables-persistent oder so zu tun hat damit man iptables-save nützen kann. denn die links was gibst sind nicht mit busybox tauglich denn busybox hat andere shell und auch nicht alle wie bei ubunto denn so wie sudo oder co shell-befehle kennt er nicht ist halt ne abegespeckte und speziell für router konzipierte version und dann die ganze kindersicherungsarten denn man kommt nicht so in denn shell über telnet nur mit diesen befehlen vorher und auch nur auf gewisse zeit, sind einige schutzfunktion drin wie es aussieht^^

Jutta hat geschrieben:ansonsten: nicht so ungeduldig sein. du wolltest ja einen eigenen router und du willst dich nicht auf die befehle beschraenken, die via web-if moeglich sind. also wirst du dich da durchbeissen muessen. dafuer kannst du nachher stolz sein :)


Ich weis, gute dinge haben weile :rofl:

Jutta hat geschrieben://edit ps: nachdem ich bei dem von dir geposteten link http://tjworld.net/wiki/Zyxel/VDSL_IAD ein bisschen gelesen habe: was passiert, wenn du einfach "save" eintippst? was speichert es da?

die commands iptables-save und iptables-restore scheinen nicht installiert zu sein http://tjworld.net/attachment/wiki/Zyxe ... tables.log also kein wunder, dass du eine fehlermeldung bekommst.


hab mal die auflistung der module hier mit lsmod befehl und da sieht man schon denn iptables

Code: Alles auswählen
# lsmod
Module                  Size  Used by    Tainted: P
ehci_hcd               39200  0
ohci_hcd               24592  0
usb_storage            56592  0
usblp                  14016  0
xt_policer              2576  0
xt_ether                1584  0
xt_multiport            2800  0
xt_DSCP                 3008  0
xt_dscp                 2080  0
ip6t_REJECT             4080  0
nf_conntrack_ipv6      13680  5
ip6t_LOG                7536  9
ip6table_mangle         2256  1
ip6table_filter         2144  1
ip6_tables             13968  3 ip6t_LOG,ip6table_mangle,ip6table_filter
xt_connlimit            4416  0
nf_nat_tftp             1152  0
nf_nat_irc              1936  0
nf_nat_rtsp             8144  0
nf_nat_h323             7056  0
nf_nat_ftp              2720  0
nf_conntrack_tftp       4096  1 nf_nat_tftp
nf_conntrack_irc        5504  1 nf_nat_irc
nf_conntrack_rtsp      11504  1 nf_nat_rtsp
nf_conntrack_sip       12416  0
nf_conntrack_ftp        7408  1 nf_nat_ftp
nf_conntrack_h323      49024  1 nf_nat_h323
nf_nat_pptp             2560  0
nf_conntrack_pptp       6080  1 nf_nat_pptp
nf_nat_proto_gre        1936  1 nf_nat_pptp
nf_conntrack_proto_gre     5344  1 nf_conntrack_pptp
nfnetlink_queue         9184  0
iptable_mangle          2320  1
xt_AUTOMAP              1840  0
xt_MARK                 1840 13
xt_mark                 1440  8
xt_iprange              2208  0
xt_pkttype              1344  6
xt_recent              10272  7
xt_time                 2704  0
xt_length               1456  1
xt_helper               1776  0
xt_mac                  1264  0
ipt_REJECT              3360  0
ipt_LOG                 7392 18
xt_limit                2240  9
xt_state                1760 14
ipt_REDIRECT            1552  0
ipt_MASQUERADE          4512  1
iptable_nat             5040  1
nf_nat                 17184 10 nf_nat_tftp,nf_nat_irc,nf_nat_rtsp,nf_nat_h323,nf_nat_ftp,nf_nat_pptp,nf_nat_proto_gre,i
pt_REDIRECT,ipt_MASQUERADE,iptable_nat
nf_conntrack_ipv4      13840 12 iptable_nat,nf_nat
nf_defrag_ipv4          1552  1 nf_conntrack_ipv4
nf_conntrack           67392 22 nf_conntrack_ipv6,xt_connlimit,nf_nat_tftp,nf_nat_irc,nf_nat_rtsp,nf_nat_h323,nf_nat_ftp
,nf_conntrack_tftp,nf_conntrack_irc,nf_conntrack_rtsp,nf_conntrack_sip,nf_conntrack_ftp,nf_conntrack_h323,nf_nat_pptp,nf
_conntrack_pptp,nf_conntrack_proto_gre,xt_helper,xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ipv4
nfnetlink               4304  1 nfnetlink_queue
xt_SKIPLOG              1200  0
xt_TCPMSS               4448  1
iptable_filter          2240  1
ip_tables              12704  3 iptable_mangle,iptable_nat,iptable_filter
pwrmngtd                9568  0
bcmvlan               103600  0
p8021ag                 7008  0
endpointdd           4413408  0
wl                   3626512  0
bcm_enet              203984  2 pwrmngtd,wl
adsldd                355888  0
bcmxtmcfg              84208  1 adsldd
bcmfap                193920  1 bcm_enet
pktflow               112960  2 bcm_enet,bcmfap
bcm_bpm               209024  0 [permanent]
bcm_ingqos             10688  0
chipinfo                1728  0
#
Bye bye. Have a nice day!!!
Hangup


Verbindung zu Host verloren.

Drücken Sie eine beliebige Taste, um den Vorgang fortzusetzen...


leider geht der befehl in der shell von busybox nicht und er speichert mit save nur außerhalb die eingeschränkte cli commands was für normale user gedacht ist die busybox ist eigentlich nur für entwickler bzw. developer dafür auch mächtiger und mehr möglichkeiten. Wie aussieht haben sie anscheind den package oder modul nicht drin oder ist drin aber nicht geladen, da ist die frage wie ich das lade und auch immer per reboot/restart da ist und wo und wie ich die rules.v4 finde oder wo er die rules für iptables abspeichert, irgendwie kann man sicher das öffnen und editieren wenn das erste nicht möglich ist mit iptables-save nicht geht oder nicht hat oder nicht geladen ist oder wie auch immer, bin nur noch verwirrt^^ Denn logischerweis muss man ja irgendwie die regel setzen ändern und speichern, denn wie machen dann dies dann bei ZyXEL das.?!?! :-?
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon jutta » So 27 Jul, 2014 17:49

> Das Problem ist nur es gibt kein /etc/iptables/ und es gibt auch keine rules.v4

das waer nicht das problem. verzeichnisse und dateien kann man anlegen. das wird aber nichts helfen, wenn iptables-save nicht installiert ist.

> auflistung der module hier mit lsmod befehl und da sieht man schon denn iptables

das sind die geladenen kernelmodule. welche befehle installiert sind, siehst du in den verzeichnissen /bin, /sbin, /usr/bin, /usr/sbin und vielleicht noch weiteren. oder in der liste von "TJ" http://tjworld.net/attachment/wiki/Zyxe ... tables.log

> denn wie machen dann dies dann bei ZyXEL das.?!

ich nehme an, mit einem script, das die config in einen bestimmten bereich der NVRAM kopiert.

btw: was liegt denn im /data verzeichnis? und was steht in /etc/wwan?
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » So 27 Jul, 2014 19:19

jutta hat geschrieben:> Das Problem ist nur es gibt kein /etc/iptables/ und es gibt auch keine rules.v4

das waer nicht das problem. verzeichnisse und dateien kann man anlegen. das wird aber nichts helfen, wenn iptables-save nicht installiert ist.

> auflistung der module hier mit lsmod befehl und da sieht man schon denn iptables

<span>das sind die geladenen kernelmodule. welche befehle installiert sind, siehst du in den verzeichnissen /bin, /sbin, /usr/bin, /usr/sbin und vielleicht noch weiteren. oder in der liste von "TJ" <a href="http://tjworld.net/attachment/wiki/Zyxel/VDSL_IAD/executables.log" class="smarterwiki-linkify">http://tjworld.net/attachment/wiki/Zyxel/VDSL_IAD/executables.log</a></span>

> denn wie machen dann dies dann bei ZyXEL das.?!

ich nehme an, mit einem script, das die config in einen bestimmten bereich der NVRAM kopiert.

btw: was liegt denn im /data verzeichnis? und was steht in /etc/wwan?


Sodala, erstmal die auflistung ind Code von mein Shell Output des Routers. Leider gibt es kein /etc/wwan :-?

Code: Alles auswählen
VMG8924-B10A
Login: supervisor
Password:
> echo && bash

~ # ls -l /sbin/
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 arp -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 blkid -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 depmod -> ../bin/busybox
-rwxrwxrwx    1 supervis root          1239 Feb 17 06:05 des3_encrypt.sh
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 devmem -> ../bin/busybox
lrwxrwxrwx    1 supervis root            13 Feb 17 06:06 ethctl -> ../bin/ethctl
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 fdisk -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 freeramdisk -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 fsck -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 fsck.minix -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 getty -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 halt -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 hotplug -> ../bin/hotplug
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 hwclock -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 ifconfig -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 ifdown -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 ifup -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 init -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 insmod -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 klogd -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 logread -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 losetup -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 lsmod -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 makedevs -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 mdev -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 mkfs.minix -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 mkswap -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 modprobe -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 pivot_root -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 poweroff -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 reboot -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 rmmod -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 route -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 runlevel -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 sulogin -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 swapoff -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 swapon -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 switch_root -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 sysctl -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 sysinfo -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 syslogd -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 udhcpc -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 vconfig -> ../bin/busybox
lrwxrwxrwx    1 supervis root            14 Feb 17 06:06 watchdog -> ../bin/busybox
-rwxrwxrwx    1 supervis root          9190 Feb 17 06:05 wwan-add.sh
-rwxrwxrwx    1 supervis root          1075 Feb 17 06:05 wwan-find-devices.sh
-rwxrwxrwx    1 supervis root          3292 Feb 17 06:05 wwan-hotplug.sh
-rwxrwxrwx    1 supervis root          2598 Feb 17 06:05 wwan-package-match.sh
-rwxrwxrwx    1 supervis root          1673 Feb 17 06:05 wwan-remove.sh
~ # ls -l /bin
-rwxr-xr-x    1 supervis root         35248 Feb 17 06:06 EmappS
-rwxr-xr-x    1 supervis root         22780 Feb 17 06:06 acs_cli
-rwxr-xr-x    1 supervis root         99168 Feb 17 06:06 acsd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 addgroup -> busybox
-rwxr-xr-x    1 supervis root            50 Feb 17 06:04 addr2name
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 adduser -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 adsl -> xdslctl
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 adslctl -> xdslctl
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 ash -> busybox
-rwxr-xr-x    1 supervis root         53640 Feb 17 06:06 autoscheduling
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 bash -> busybox
-rwxr-xr-x    1 supervis root         15852 Feb 17 06:06 bcmmserver
-rwxr-xr-x    1 supervis root         60296 Feb 17 06:06 bftpd
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 bpm -> bpmctl
-rwxr-xr-x    1 supervis root          9424 Feb 17 06:06 bpmctl
-rwxr-xr-x    1 supervis root         38700 Feb 17 06:06 brctl
-rwxr-xr-x    1 supervis root        812008 Feb 17 06:06 busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 cat -> busybox
-rwxr-xr-x    1 supervis root        215816 Feb 17 06:06 celld
-rwxr-xr-x    1 supervis root         18564 Feb 17 06:06 chat
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 chattr -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 chgrp -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 chmod -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 chown -> busybox
-rwxr-xr-x    1 supervis root          9620 Feb 17 06:06 consoled
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 cp -> busybox
-rwxr-xr-x    1 supervis root          6756 Feb 17 06:06 cpuload
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 cttyhack -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 date -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 dd -> busybox
-rwxr-xr-x    1 supervis root         15844 Feb 17 06:06 ddnsd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 delgroup -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 deluser -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 df -> busybox
-rwxr-xr-x    1 supervis root        169432 Feb 17 06:06 dhcp6c
-rwxr-xr-x    1 supervis root        152728 Feb 17 06:06 dhcp6s
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 dhcpc -> udhcpd
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 dhcpd -> udhcpd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 dmesg -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 dnsdomainname -> busybox
-rwxr-xr-x    1 supervis root        152544 Feb 17 06:06 dnsmasq
-rwxr-xr-x    1 supervis root          3868 Feb 17 06:06 dnsspoof
-rwxr-xr-x    1 supervis root         17128 Feb 17 06:06 dry
-rwxr-xr-x    1 supervis root         16976 Feb 17 06:06 dsldiagd
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 dumpmem -> xtmctl
-rwxr-xr-x    1 supervis root         53912 Feb 17 06:06 eapd
-rwxr-xr-x    1 supervis root         84436 Feb 17 06:06 ebtables
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 echo -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 egrep -> busybox
-rwxr-xr-x    1 supervis root         35128 Feb 17 06:06 epi_ttcp
-rwxr-xr-x    1 supervis root         15120 Feb 17 06:06 ethctl
-rwxr-xr-x    1 supervis root         59896 Feb 17 06:06 ethswctl
-rwxr-xr-x    1 supervis root         82852 Feb 17 06:06 ez-ipupdate
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 false -> busybox
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 fap -> fapctl
-rwxr-xr-x    1 supervis root         33636 Feb 17 06:06 fapctl
lrwxrwxrwx    1 supervis root             5 Feb 17 06:06 fc -> fcctl
-rwxr-xr-x    1 supervis root          9768 Feb 17 06:06 fcctl
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 fgrep -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 getopt -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 gmac -> gmacctl
-rwxr-xr-x    1 supervis root          8900 Feb 17 06:06 gmacctl
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 grep -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 hostname -> busybox
-rwxr-xr-x    1 supervis root         13328 Feb 17 06:06 hotplug
-rwxr-xr-x    1 supervis root        919456 Feb 17 06:06 httpd
-rwxr-xr-x    1 supervis root         14543 Feb 17 06:06 icf.cfg
-rwxr-xr-x    1 supervis root       4678924 Feb 17 06:06 icf.exe
-rwxr-xr-x    1 supervis root         34488 Feb 17 06:06 inadyn
-rwxr-xr-x    1 supervis root        207976 Feb 17 06:06 ip
-rwxr-xr-x    1 supervis root         20760 Feb 17 06:06 ip6
-rwxr-xr-x    1 supervis root        146924 Feb 17 06:06 ip6tables
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 ipaddr -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 iplink -> busybox
-rwxr-xr-x    1 supervis root         37368 Feb 17 06:06 ippd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 iproute -> busybox
-rwxr-xr-x    1 supervis root        125004 Feb 17 06:06 iptables
lrwxrwxrwx    1 supervis root             5 Feb 17 06:06 iq -> iqctl
-rwxr-xr-x    1 supervis root         11808 Feb 17 06:06 iqctl
-rwxr-xr-x    1 supervis root         65536 Feb 17 06:06 ivrsys.bin
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 kill -> busybox
-rwxr-xr-x    1 supervis root         11932 Feb 17 06:06 link_updown
-rwxr-xr-x    1 supervis root         26752 Feb 17 06:06 linkstatus
-rwxr-xr-x    1 supervis root         56424 Feb 17 06:06 lld2d
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 ln -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 login -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 ls -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 lsattr -> busybox
-rwxr-xr-x    1 supervis root          3440 Feb 17 06:06 lsusb
-rwxr-xr-x    1 supervis root         56556 Feb 17 06:06 mailsend
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 mcp -> mcpctl
-rwxr-xr-x    1 supervis root          4044 Feb 17 06:06 mcpctl
-rwxr-xr-x    1 supervis root        141128 Feb 17 06:06 mcpd
-rwxr-xr-x    1 supervis root          5712 Feb 17 06:06 mdkshell
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 mkdir -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 mknod -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 mktemp -> busybox
-rwxr-xr-x    1 supervis root        939324 Feb 17 06:06 mm.exe
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 more -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 mount -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 mountpoint -> busybox
-rwxr-xr-x    1 supervis root          5576 Feb 17 06:06 mroute
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 mv -> busybox
-rwxr-xr-x    1 supervis root         13528 Feb 17 06:06 myping
-rwxr-xr-x    1 supervis root          6304 Feb 17 06:06 name2addr
-rwxr-xr-x    1 supervis root         52504 Feb 17 06:06 nas
lrwxrwxrwx    1 supervis root            10 Feb 17 06:06 nas4not -> ../bin/nas
-rwxr-xr-x    1 supervis root          9524 Feb 17 06:06 ndisc6
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 netstat -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 nice -> busybox
-rwxr-xr-x    1 supervis root         51164 Feb 17 06:06 ntfs-3g
-rwxr-xr-x    1 supervis root          5948 Feb 17 06:06 nvram
-rwxr-xr-x    1 supervis root          8392 Feb 17 06:06 nvramUpdate
-rwxr-xr-x    1 supervis root        323604 Feb 17 06:06 openssl
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 pidof -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 ping -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 ping6 -> busybox
-rwxr-xr-x    1 supervis root        238668 Feb 17 06:06 pppd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 ps -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 pwd -> busybox
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 pwr -> pwrctl
-rwxr-xr-x    1 supervis root         12116 Feb 17 06:06 pwrctl
-rwxr-xr-x    1 supervis root        627584 Feb 17 06:06 racoon
-rwxr-xr-x    1 supervis root         91728 Feb 17 06:06 racoonctl
-rwxr-xr-x    1 supervis root         80296 Feb 17 06:06 radvd
-rwxr-xr-x    1 supervis root          8523 Feb 17 06:06 rastatus6
-rwxr-xr-x    1 supervis root          9896 Feb 17 06:06 rawSocketTest
-rwxr-xr-x    1 supervis root         84488 Feb 17 06:06 ripd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 rm -> busybox
-rwxr-xr-x    1 supervis root        212760 Feb 17 06:06 rpcapd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 sed -> busybox
-rwxr-xr-x    1 supervis root        104496 Feb 17 06:06 setkey
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 setmem -> xtmctl
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 sh -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 sleep -> busybox
-rwxr-xr-x    1 supervis root       5667444 Feb 17 06:06 smbd
-rwxr-xr-x    1 supervis root         74520 Feb 17 06:06 smd
-rwxr-xr-x    1 supervis root        108520 Feb 17 06:06 snmpd
-rwxr-xr-x    1 supervis root         15256 Feb 17 06:06 sntp
-rwxr-xr-x    1 supervis root        199268 Feb 17 06:06 sshd
-rwxr-xr-x    1 supervis root        239088 Feb 17 06:06 ssk
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 stat -> busybox
-rwxr-xr-x    1 supervis root         21348 Feb 17 06:06 stress
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 stty -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 su -> busybox
-rwxr-xr-x    1 supervis root         11792 Feb 17 06:06 swmdk
-rwxr-xr-x    1 supervis root          7852 Feb 17 06:06 sysdiagd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 tar -> busybox
-rwxr-xr-x    1 supervis root        232052 Feb 17 06:06 tc
-rwxr-xr-x    1 supervis root        834868 Feb 17 06:06 tcpdump
-rwxr-xr-x    1 supervis root         18076 Feb 17 06:06 telnetd
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 touch -> busybox
-rwxr-xr-x    1 supervis root        350656 Feb 17 06:06 tr64c
-rwxr-xr-x    1 supervis root        265912 Feb 17 06:06 tr69c
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 true -> busybox
-rwxr-xr-x    1 supervis root         73184 Feb 17 06:06 udhcpd
-rwxr-xr-x    1 supervis root         11180 Feb 17 06:06 udpechod
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 umount -> busybox
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 uname -> busybox
-rwxr-xr-x    1 supervis root         76596 Feb 17 06:06 uploadd
-rwxr-xr-x    1 supervis root        120824 Feb 17 06:06 upnp
-rwxr-xr-x    1 supervis root         50244 Feb 17 06:06 upnpc
-rwxr-xr-x    1 supervis root         39520 Feb 17 06:06 urlfilterd
-rwxr-xr-x    1 supervis root         66944 Feb 17 06:06 usb_modeswitch
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 usleep -> busybox
-rwxr-xr-x    1 supervis root         91796 Feb 17 06:06 vcautohunt
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 vi -> busybox
-rwxr-xr-x    1 supervis root         24315 Feb 17 06:06 vlanautohunt
-rwxr-xr-x    1 supervis root         36640 Feb 17 06:06 vlanctl
-rwxr-xr-x    1 supervis root       1125136 Feb 17 06:06 voiceApp
lrwxrwxrwx    1 supervis root             7 Feb 17 06:06 watch -> busybox
-rwxr-xr-x    1 supervis root          7648 Feb 17 06:06 watchdog
-rwxr-xr-x    1 supervis root         46392 Feb 17 06:06 webipqd
lrwxrwxrwx    1 supervis root             5 Feb 17 06:06 wl -> wlctl
lrwxrwxrwx    1 supervis root            16 Feb 17 06:06 wl_server -> wl_server_socket
-rwxr-xr-x    1 supervis root          6928 Feb 17 06:06 wl_server_socket
-rwxr-xr-x    1 supervis root          5040 Feb 17 06:06 wlctl
-rwxr-xr-x    1 supervis root          8776 Feb 17 06:06 wlevt
-rwxr-xr-x    1 supervis root         14516 Feb 17 06:06 wlmngr
-rwxr-xr-x    1 supervis root         31496 Feb 17 06:06 wpa_cli
-rwxr-xr-x    1 supervis root         16744 Feb 17 06:06 wpa_passphrase
-rwxr-xr-x    1 supervis root        245532 Feb 17 06:06 wpa_supplicant
-rwxr-xr-x    1 supervis root        256860 Feb 17 06:06 wps_monitor
-rwxr-xr-x    1 supervis root        130576 Feb 17 06:06 wput
-rwxr-xr-x    1 supervis root        133615 Feb 17 06:06 xdslctl
lrwxrwxrwx    1 supervis root             6 Feb 17 06:06 xtm -> xtmctl
-rwxr-xr-x    1 supervis root         42396 Feb 17 06:06 xtmctl
-rwxr-xr-x    1 supervis root         75616 Feb 17 06:06 zebra
-rwxr-xr-x    1 supervis root         63436 Feb 17 06:06 zycfgfilter
~ # ls -l usr/bin
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 [ -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 [[ -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 awk -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 basename -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 chat -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 chrt -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 chvt -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 clear -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 cmp -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 cut -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 diff -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 du -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 eject -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 env -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 ether-wake -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 expr -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 find -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 fold -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 free -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 ftpget -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 ftpput -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 fuser -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 head -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 hexdump -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 install -> ../../bin/busybox
-rwxr-xr-x    1 supervis root         75804 Feb 17 06:04 iostat
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 ipcrm -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 ipcs -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 killall -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 killall5 -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 less -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 logger -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 mesg -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 mkfifo -> ../../bin/busybox
-rwxr-xr-x    1 supervis root         66932 Feb 17 06:04 mpstat
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 nc -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 nslookup -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 passwd -> ../../bin/busybox
-rwxr-xr-x    1 supervis root         80064 Feb 17 06:04 pidstat
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 printf -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 pscan -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 reset -> ../../bin/busybox
-rwxr-xr-x    1 supervis root        141116 Feb 17 06:04 sadf
-rwxr-xr-x    1 supervis root         99388 Feb 17 06:04 sar
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 sendarp -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 seq -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 setsid -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 sort -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 strings -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 tac -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 tail -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 tee -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 telnet -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 test -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 tftp -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 tftpd -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 time -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 top -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 tr -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 traceroute -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 tty -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 unexpand -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 uniq -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 uptime -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 wc -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 wget -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 which -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 whoami -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 xargs -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 yes -> ../../bin/busybox
~ # ls -l usr/sbin
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 brctl -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 chpasswd -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 dnsd -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 fakeidentd -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 flash_eraseall -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 httpd -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 inetd -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 telnetd -> ../../bin/busybox
lrwxrwxrwx    1 supervis root            17 Feb 17 06:06 udhcpd -> ../../bin/busybox
~ # ls -al /opt/scripts/
drwxrwxrwx    2 supervis root             0 Feb 14 05:18 .
drwxr-xr-x    5 supervis root             0 Feb 17 06:06 ..
-rwxr-xr-x    1 supervis root            33 Feb 14 05:18 bcmlog
-rwxr-xr-x    1 supervis root           218 Feb 14 05:18 db
-rwxr-xr-x    1 supervis root           223 Feb 14 05:18 dh
-rwxr-xr-x    1 supervis root            40 Feb 14 05:18 dumpmem
-rwxr-xr-x    1 supervis root          8607 Feb 17 06:05 dumpsysinfo.sh
-rwxr-xr-x    1 supervis root           217 Feb 14 05:18 dw
-rwxr-xr-x    1 supervis root           153 Feb 14 05:18 fb
-rwxr-xr-x    1 supervis root           157 Feb 14 05:18 fh
-rwxr-xr-x    1 supervis root           153 Feb 14 05:18 fw
-rwxr-xr-x    1 supervis root           134 Feb 14 05:18 sb
-rwxr-xr-x    1 supervis root            46 Feb 14 05:18 setmem
-rwxr-xr-x    1 supervis root           138 Feb 14 05:18 sh
-rwxr-xr-x    1 supervis root           282 Feb 14 05:18 spitr
-rwxr-xr-x    1 supervis root          1319 Feb 17 06:05 stress-fs-flist.txt
-rwxr-xr-x    1 supervis root          8023 Feb 17 06:05 stress-fs.sh
-rwxr-xr-x    1 supervis root           568 Feb 17 06:05 stress-proc.sh
-rwxr-xr-x    1 supervis root           715 Feb 17 06:05 stress-xdslupdown.sh
-rwxr-xr-x    1 supervis root           134 Feb 14 05:18 sw
~ #
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon jutta » So 27 Jul, 2014 19:31

> Sodala, erstmal die auflistung ind Code von mein Shell Output des Routers. Leider gibt es kein /etc/wwan :-?

dann schau in /var/etc/

siehe http://tjworld.net/wiki/Zyxel/VDSL_IAD listing der /etc/init.d/rcS
da sieht man, welche verzeichnisse erst beim booten eingerichtet werden und welche daten da reinkommen.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » So 27 Jul, 2014 21:27

jutta hat geschrieben:> Sodala, erstmal die auflistung ind Code von mein Shell Output des Routers. Leider gibt es kein /etc/wwan :-?

dann schau in /var/etc/

<span>siehe <a href="http://tjworld.net/wiki/Zyxel/VDSL_IAD" class="smarterwiki-linkify">http://tjworld.net/wiki/Zyxel/VDSL_IAD</a> listing der /etc/init.d/rcS</span>
da sieht man, welche verzeichnisse erst beim booten eingerichtet werden und welche daten da reinkommen.


Code: Alles auswählen
VMG8924-B10A
Login: supervisor
Password:
> echo & bash

~ # ls -l /var/etc/
drwxr-xr-x    3 supervis root             0 Jan  1  1970 ppp
-rwxr-xr-x    1 supervis root           630 Jan  1  1970 pwatchdog.sh
-rwxr-xr-x    1 supervis root           494 Jan  1  1970 zyims.sh
~ # cd /etc/init.d/
/etc/init.d # cat rcS
#! /bin/sh

PATH=/sbin:/bin
export PATH

mount -t proc proc /proc
/bin/mount -a
#/sbin/inetd

# automount
mount -t tmpfs mdev /dev/mdev
#echo /sbin/mdev > /proc/sys/kernel/hotplug
mdev -s

# wwan data
mkdir /var/wwan
#cp -r /etc/wwan /var/etc
mount -t usbfs usbfs /proc/bus/usb/


mkdir /var/etc
mkdir /var/etc/ppp
mkdir /var/etc/ppp/chat

cp /etc/pwdog/* /var/etc
cp /etc/ppp/* /var/etc/ppp
#cp /etc/ppp/chat/* /var/etc/ppp/chat/etc/init.d #


Dann hab ich noch die .sh und denn eine unterordner noch aufgemacht:

Code: Alles auswählen
VMG8924-B10A
Login: supervisor
Password:
> echo && bash

~ # cd var/etc/
/var/etc # ls -l
drwxr-xr-x    3 supervis root             0 Jan  1  1970 ppp
-rwxr-xr-x    1 supervis root           630 Jan  1  1970 pwatchdog.sh
-rwxr-xr-x    1 supervis root           494 Jan  1  1970 zyims.sh
/var/etc # cat zyims.sh
#!/bin/sh
#echo "zyims.sh ENTER"
vapidtmp=`pidof -s voiceApp`
if [ "$vapidtmp" != "" ] ; then
        echo $vapidtmp
        kill $vapidtmp
        sleep 5
fi

mmpidtmp=`pidof -s mm.exe`
if [ "$mmpidtmp" != "" ] ; then
        echo $mmpidtmp
        kill $mmpidtmp
fi

icfpidtmp=`pidof -s icf.exe`
if [ "$icfpidtmp" != "" ] ; then
        echo $icfpidtmp
        kill $icfpidtmp
fi

# Media Management
test -e /bin/mm.exe && /bin/mm.exe &
test -e /bin/mm.exe && sleep 5
test -e /bin/icf.exe && /bin/icf.exe &

#echo "zyims.sh EXIT"

exit
/var/etc # cat pwatchdog.sh
#!/bin/sh
# process watchdog. This program will check processes status and
# restart processes if a process is not running, or status is zombie,

################## Watchdog start #############################^M

icfstatus=`pidof -k icf.exe`
vastatus=`pidof -k voiceApp`
#echo $icfstatus
#echo $vastatus

# Since we use ps and grep to check if a process is running,
# we need to check if the grep result is the grep process itself
# status="" means the process is not running
# status=Z means the process becoming zombie
if [ "$icfstatus" = "0" ] || [ "$vastatus" = "0" ]; then
        echo "process die"
    /var/etc/zyims.sh
fi
exit


/var/etc # ls -l
drwxr-xr-x    3 supervis root             0 Jan  1  1970 ppp
-rwxr-xr-x    1 supervis root           630 Jan  1  1970 pwatchdog.sh
-rwxr-xr-x    1 supervis root           494 Jan  1  1970 zyims.sh
/var/etc # cd ppp
/var/etc/ppp # ls -l
-rwxr-xr-x    1 supervis root            93 Jan  1  1970 chap-secrets
drwxr-xr-x    2 supervis root             0 Jan  1  1970 chat
-rwxr-xr-x    1 supervis root           310 Jan  1  1970 ip-down
-rwxr-xr-x    1 supervis root           362 Jan  1  1970 ip-up
-rwxr-xr-x    1 supervis root            41 Jan  1  1970 options
-rwxr-xr-x    1 supervis root            93 Jan  1  1970 pap-secrets

>
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon zid » Mo 28 Jul, 2014 11:43

na seawas, da spielts sich ab...

hallo dozi,

nur kurz mal zur sicherungsproblematik der iptables-einstellungen, die ist nämlich 2-teilig:

1. du mußt die einstellungen zuerst einmal mal sichern, und das geht nur in /data, weil diese partition jffs2 schreibbar gemountet hat (mit 4 MiB ist sie gar nicht so klein).

2. wenn du jetzt also irgendwas in dieser preisklasse machst,...:

Code: Alles auswählen
~ # cat <<EOF> /data/my_iptables
> #!/bin/sh
> IPT=/sbin/iptables
> $IPT -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
> $IPT -A INPUT -i br0 -j ACCEPT
> $IPT -A INPUT -i lo -j ACCEPT
> $IPT -P INPUT DROP
> EOF
~ # chmod a+x /data/my_iptables

...dann hast du zwar ein schnuckeliges firewall-script, das einen reboot übersteht, es verhält sich aber wie ein toter hund, weil es beim systemstart nicht ausgeführt wird. d.h. du mußt es manuell starten, indem du mit telnet auf den zyx gehst und es dort ausführst, oder du erstellst auf einem deiner rechner ein expect-script o.ä., das dasselbe erledigt.
so, jetzt war meine hoffnung, daß es in /etc (/etc/init.d kommt nicht in frage, enthält nur rcS, und in rcS werden grad mal ein paar dateien/verzeichnisse in den ram kopiert, um den flash zu schonen) irgendeinen symlink gibt, der auf eine datei in /data verweist und während des systemstarts ausgeführt wird. dann könnte man diese eine datei nämlich als so'ne hook für lokale scripts verwenden, und alles wär paletti. deshalb hab ich auch nach den outputs von "ls -l /etc"ls -l /data" gefragt. und wenn du diese outputs anschaust, dann wirst du sehen, daß es keinen derartigen symlink gibt.
bedeutet für dich also:
die ganz einfache nummer kannst du dir abschminken, das ganze kann noch sehr deftig werden, falls wir es überhaupt hinkriegen.
und vergiß jetzt endlich das iptables-save/iptables-restore. diese funktionen

1. sind auf deinem gerät gar nicht vorhanden, schau nach mit

Code: Alles auswählen
~ # which iptables-save
~ # which iptables-restore

und

2. selbst wenn sie vorhanden wären, würdest du kerzengrad in die problematik von oben rennen.


weiters:

die tulpen deines netstat sind durchaus geeignet, eiterwimmerl auf meinem hintern entstehen zu lassen... :D
als praktizierender florist hab ich ziemlichr konkrete vorstellungen, wie die tulpen ca. aussehen sollten:

Code: Alles auswählen
# netstat -tulen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
udp        0      0 0.0.0.0:53              0.0.0.0:*                           
#

das ganze muß jetzt natürlich net 1:1 sein, aber sicher net der christbaum, der bei dir mehr schlecht als recht am röcheln is.
aus meiner sicht ist ein case bei zyxel fällig, fragt sich nur noch, wie groß er werden wird.
wir haben schon einmal nach diesen outputs gefragt:

Code: Alles auswählen
~ # iptables -nvL --line-numbers
~ # iptables -t nat -nvL --line-numbers

*im factory default*.
jetzt kommt noch das dazu:

Code: Alles auswählen
~ # nvram show


ich würd mir dein ding am liebsten in natura geben. werd dir noch ein mail mit einer kleinen anleitung zur einrichtung eines ras schicken. wenn du damit einverstanden bist, dann schreite zur tat.
erwarte keine antworten von mir vor heut abend/nacht.

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » Mo 28 Jul, 2014 12:53

Hallo Zid,

ich hau mal die Code ein mit denn dingern die ich auslesen soll:

So erstmal das mit which und auch noch einiges ls auflistung die vielleicht interessant wären:

Code: Alles auswählen
~ # which iptables-save
~ # which iptables-restore
~ # ls -l /data
-rw-r--r--    1 supervis root         12150 Jul 26 23:10 LinkStatus.txt
-rw-r--r--    1 supervis root            32 Jul 27 19:46 currentTime
-rw-r--r--    1 supervis root         65536 Jan  1  1970 ivr_data_sys
drwxr-xr-x    2 supervis root             0 Jan  1  2014 log
-rw-------    1 supervis root         32697 Jul 27 19:56 psi
-rw-------    1 supervis root        131072 Jul 26 23:05 scratchpad
drwxr-xr-x    2 supervis root             0 Jul 27 19:51 wtmp
~ # ls -l /opt
drwxr-xr-x    2 supervis root             0 Feb 17 04:45 bin
drwxr-xr-x    2 supervis root             0 Feb 17 04:45 modules
drwxrwxrwx    2 supervis root             0 Feb 14 05:18 scripts
~ # ls -l /opt/scripts
-rwxr-xr-x    1 supervis root            33 Feb 14 05:18 bcmlog
-rwxr-xr-x    1 supervis root           218 Feb 14 05:18 db
-rwxr-xr-x    1 supervis root           223 Feb 14 05:18 dh
-rwxr-xr-x    1 supervis root            40 Feb 14 05:18 dumpmem
-rwxr-xr-x    1 supervis root          8607 Feb 17 06:05 dumpsysinfo.sh
-rwxr-xr-x    1 supervis root           217 Feb 14 05:18 dw
-rwxr-xr-x    1 supervis root           153 Feb 14 05:18 fb
-rwxr-xr-x    1 supervis root           157 Feb 14 05:18 fh
-rwxr-xr-x    1 supervis root           153 Feb 14 05:18 fw
-rwxr-xr-x    1 supervis root           134 Feb 14 05:18 sb
-rwxr-xr-x    1 supervis root            46 Feb 14 05:18 setmem
-rwxr-xr-x    1 supervis root           138 Feb 14 05:18 sh
-rwxr-xr-x    1 supervis root           282 Feb 14 05:18 spitr
-rwxr-xr-x    1 supervis root          1319 Feb 17 06:05 stress-fs-flist.txt
-rwxr-xr-x    1 supervis root          8023 Feb 17 06:05 stress-fs.sh
-rwxr-xr-x    1 supervis root           568 Feb 17 06:05 stress-proc.sh
-rwxr-xr-x    1 supervis root           715 Feb 17 06:05 stress-xdslupdown.sh
-rwxr-xr-x    1 supervis root           134 Feb 14 05:18 sw
~ # ls -l /opt/bin
~ # ls -l /opt/modules
~ #


Wie du leider siehst passiert nix bei which :cry: also geht das nicht :(

Dann noch einige sachen in opt vielleicht intersannt!

Als nächster kommen die schöne Tulpen :rotfl: und die iptables dinger:

Code: Alles auswählen
~ # netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:263             0.0.0.0:*               LISTEN      211/EmappS
tcp        0      0 0.0.0.0:44401           0.0.0.0:*               LISTEN      273/smd
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN      4235/dnsmasq
tcp        0      0 0.0.0.0:5916            0.0.0.0:*               LISTEN      3938/acsd
tcp        0      0 :::80                   :::*                    LISTEN      273/smd
tcp        0      0 :::53                   :::*                    LISTEN      4235/dnsmasq
tcp        0      0 :::21                   :::*                    LISTEN      273/smd
tcp        0      0 :::30005                :::*                    LISTEN      273/smd
tcp        0      0 :::22                   :::*                    LISTEN      273/smd
tcp        0      0 :::23                   :::*                    LISTEN      273/smd
tcp        0      0 :::443                  :::*                    LISTEN      273/smd
udp        0      0 0.0.0.0:263             0.0.0.0:*                           211/EmappS
udp        0      0 127.0.0.1:38032         0.0.0.0:*                           3328/nas
udp        0      0 0.0.0.0:42000           0.0.0.0:*                           3314/eapd
udp        0      0 127.0.0.1:42032         0.0.0.0:*                           3938/acsd
udp        0      0 0.0.0.0:53              0.0.0.0:*                           4235/dnsmasq
udp        0      0 0.0.0.0:67              0.0.0.0:*                           995/dhcpd
udp        0      0 0.0.0.0:8011            0.0.0.0:*                           267/icf.exe
udp        0      0 0.0.0.0:8012            0.0.0.0:*                           267/icf.exe
udp        0      0 0.0.0.0:50000           0.0.0.0:*                           3314/eapd
udp        0      0 0.0.0.0:5098            0.0.0.0:*                           2252/dsldiagd
udp        0      0 0.0.0.0:5099            0.0.0.0:*                           2252/dsldiagd
udp        0      0 0.0.0.0:5100            0.0.0.0:*                           2252/dsldiagd
udp        0      0 0.0.0.0:38000           0.0.0.0:*                           3314/eapd
udp        0      0 0.0.0.0:50032           0.0.0.0:*                           1570/wlevt
udp        0      0 0.0.0.0:43000           0.0.0.0:*                           3314/eapd
udp        0      0 :::53                   :::*                                4235/dnsmasq
udp        0      0 :::69                   :::*                                273/smd


Wie sieht läuft da in LISTEN der doofe TCP 30005 -.-* wie kann man denn da ausmachen das er nicht mehr lauscht
und jetzt die iptables auflistung:

Code: Alles auswählen
~ # iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 1854 packets, 210K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        4  1152 VOIP_INPUT  udp  --  ppp1.1 *       0.0.0.0/0            194.96.61.213       udp dpt:5060
2     3768  195K VOIP_INPUT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
3     3652  449K VOIP_INPUT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0
4     7455  646K DOS_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     7131  608K ACL_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6     7131  608K FW_GENERAL_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7     5641  407K SERVICE_CONTROL  all  --  *      *       0.0.0.0/0            0.0.0.0/0
8     2043  220K OTHER_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
9      189  9795 DROP       all  --  !br+   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 15075 packets, 680K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     udp  --  ppp1.1 *       0.0.0.0/0            194.96.61.213       udp dpt:5060
2        0     0 ACCEPT     all  --  ppp1.1 *       0.0.0.0/0            224.0.0.0/4
3    27900 2352K DOS_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4    27721 2342K PARENTAL_CONTROL  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5    27721 2342K FW_TCPMSS  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6    27721 2342K ACL_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7    27721 2342K FW_GENERAL_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
8    15075  680K PF         all  --  *      *       0.0.0.0/0            0.0.0.0/0
9    15075  680K OTHER_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
10   15075  680K DMZ        all  --  *      *       0.0.0.0/0            0.0.0.0/0
11       0     0 DROP       all  --  !br+   *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 6459 packets, 1188K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain ACL_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain ACL_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain BCAST_STORM (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 1 prefix `BCAST STORM Attack:'
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain DMZ (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain DOS_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    23504 2130K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 RETURN     tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 30/sec burst 10
3        0     0 SYN_FLOODING  tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
4        0     0 LOG        all  --  !br+   *       192.168.1.0/24       0.0.0.0/0           LOG flags 0 level 1 prefix `IP Spoofing Attack:'
5        0     0 DROP       all  --  !br+   *       192.168.1.0/24       0.0.0.0/0
6        0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 limit: avg 1/sec burst 5
7        0     0 LOG        icmp --  !br+   *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast LOG flags 0 level 1 prefix `Ping Broadcast Atta
ck:'
8        0     0 DROP       icmp --  !br+   *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
9      590 22632 PING_DEATH  icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW

Chain DOS_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      285 35764 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2     4845  376K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3      366 17804 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 30/sec burst 10
4        4   208 SYN_FLOODING  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
5        0     0 LOG        all  --  !br+   *       192.168.1.0/24       0.0.0.0/0           LOG flags 0 level 1 prefix `IP Spoofing Attack:'
6        0     0 DROP       all  --  !br+   *       192.168.1.0/24       0.0.0.0/0
7        0     0 LOG        all  --  !lo    *       12.0.0.0/8           0.0.0.0/0           LOG flags 0 level 1 prefix `LAN Attack:'
8        0     0 DROP       all  --  !lo    *       12.0.0.0/8           0.0.0.0/0
9        0     0 LOG       !udp  --  *      *       224.0.0.0/4          0.0.0.0/0           LOG flags 0 level 1 prefix `Other Attack:'
10       0     0 DROP      !udp  --  *      *       224.0.0.0/4          0.0.0.0/0
11      49  3223 UDP_FLOODING  udp  --  !br+   *       0.0.0.0/0            194.96.61.213       state INVALID,NEW
12       0     0 BCAST_STORM  all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state NEW PKTTYPE = broadcast recent: UPDATE seconds: 120 hit_cou
nt: 20 name: port_scan side: source
13     292  110K            all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast recent: SET name: BCAST_STORM side: source
14       0     0 PORT_SCAN  all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state NEW PKTTYPE != broadcast recent: UPDATE seconds: 120 hit_coun
t: 20 name: port_scan side: source
15    1918  214K            all  --  *      *       0.0.0.0/0            0.0.0.0/0           recent: SET name: port_scan side: source
16       2    80 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29 LOG flags 0 level 1 prefix `Furtive PortScan At
tack:'
17       2    80 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29
18       0     0 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F LOG flags 0 level 1 prefix `Xmas Tree Attack:'
19       0     0 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F
20       0     0 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x37 LOG flags 0 level 1 prefix `Other Xmas Tree Att
ack:'
21       0     0 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x37
22       2    80 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00 LOG flags 0 level 1 prefix `Null Scan Attack:'
23       2    80 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00
24       0     0 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06 LOG flags 0 level 1 prefix `Furtive PortScan At
tack:'
25       0     0 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06
26       0     0 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03 LOG flags 0 level 1 prefix `Furtive PortScan At
tack:'
27       0     0 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03
28       0     0 PING_DEATH  icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 5
29       0     0 PING_DEATH  icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW

Chain FW_GENERAL_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    12646 1662K ACCEPT     all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
3        0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
4        0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
5        0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000

Chain FW_GENERAL_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     1487  200K ACCEPT     all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
4        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
5        0     0 ACCEPT     esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0
6        0     0 ACCEPT     ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0
7        0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
8        0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
9        0     0 ACCEPT     esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0
10       0     0 ACCEPT     ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0
11       0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
12       0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000

Chain FW_TCPMSS (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6625  343K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain OTHER_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain OTHER_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain PARENTAL_CONTROL (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain PF (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain PING_DEATH (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 5 LOG flags 0 level 1 prefix `ICMP Redirect Attack:'
2        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 5
3        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           length ! 0:1536
4      411 11892 RETURN     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5
5      179 10740 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 1 prefix `Ping of Death Attack:'
6      179 10740 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain PORT_SCAN (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 1 prefix `Port Scan Attack:'
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain SERVICE_CONTROL (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      809 72710 ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2       11   544 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
3        0     0 ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
4        6   252 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
5        0     0 ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
6       54  2376 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
7     2678  109K ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
8       37  2180 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
9        0     0 ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
10       3   120 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21

Chain SYN_FLOODING (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 recent: UPDATE seconds: 60 hit_count: 1 name: S
YN_FLOOD side: source
2        4   208 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 LOG flags 0 level 1 prefix `SYN FLOODING Attack
:'
3        4   208 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02

Chain UDP_FLOODING (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1       49  3223 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 100/sec burst 5
2        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 1/min burst 1 LOG flags 0 level 1 prefix `UDP_FLOODING A
TTACK:'
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain VOIP_INPUT (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        4  1152 ACCEPT     udp  --  ppp1.1 *       0.0.0.0/0            194.96.61.213       udp dpt:5060
~ # iptables -t nat -nvL --line-numbers
Chain PREROUTING (policy ACCEPT 6758 packets, 494K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  ppp1.1 *       0.0.0.0/0            224.0.0.0/4
2     6758  494K REMOTE_MGMT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     6758  494K WEB_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4     6758  494K PORT_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     6758  494K DMZ        all  --  *      *       0.0.0.0/0            0.0.0.0/0
6     6758  494K IGMP_CHAIN  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7     6758  494K OTHERS     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain POSTROUTING (policy ACCEPT 1614 packets, 109K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     4074  206K MASQUERADE  all  --  *      ppp1.1  192.168.1.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1614 packets, 109K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain DMZ (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IGMP_CHAIN (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain OTHERS (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain PORT_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain REMOTE_MGMT (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain WEB_REDIRECT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
~ #


so das ist die aber das ist noch die von mir geänderte FW_GENERAL ohne denn doppelten UDP 500 und denn TCP 30005

als letzens kommt noch die nvram -show

Code: Alles auswählen
~ # iptables -nvL --line-numbers
Chain INPUT (policy ACCEPT 1854 packets, 210K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        4  1152 VOIP_INPUT  udp  --  ppp1.1 *       0.0.0.0/0            194.96.61.213       udp dpt:5060
2     3768  195K VOIP_INPUT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
3     3652  449K VOIP_INPUT  udp  --  *      *       0.0.0.0/0            0.0.0.0/0
4     7455  646K DOS_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     7131  608K ACL_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6     7131  608K FW_GENERAL_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7     5641  407K SERVICE_CONTROL  all  --  *      *       0.0.0.0/0            0.0.0.0/0
8     2043  220K OTHER_INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
9      189  9795 DROP       all  --  !br+   *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT 15075 packets, 680K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     udp  --  ppp1.1 *       0.0.0.0/0            194.96.61.213       udp dpt:5060
2        0     0 ACCEPT     all  --  ppp1.1 *       0.0.0.0/0            224.0.0.0/4
3    27900 2352K DOS_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4    27721 2342K PARENTAL_CONTROL  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5    27721 2342K FW_TCPMSS  all  --  *      *       0.0.0.0/0            0.0.0.0/0
6    27721 2342K ACL_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7    27721 2342K FW_GENERAL_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
8    15075  680K PF         all  --  *      *       0.0.0.0/0            0.0.0.0/0
9    15075  680K OTHER_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
10   15075  680K DMZ        all  --  *      *       0.0.0.0/0            0.0.0.0/0
11       0     0 DROP       all  --  !br+   *       0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 6459 packets, 1188K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain ACL_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain ACL_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain BCAST_STORM (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 1 prefix `BCAST STORM Attack:'
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain DMZ (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain DOS_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    23504 2130K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 RETURN     tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 30/sec burst 10
3        0     0 SYN_FLOODING  tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
4        0     0 LOG        all  --  !br+   *       192.168.1.0/24       0.0.0.0/0           LOG flags 0 level 1 prefix `IP Spoofing Attack:'
5        0     0 DROP       all  --  !br+   *       192.168.1.0/24       0.0.0.0/0
6        0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x04 limit: avg 1/sec burst 5
7        0     0 LOG        icmp --  !br+   *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast LOG flags 0 level 1 prefix `Ping Broadcast Atta
ck:'
8        0     0 DROP       icmp --  !br+   *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
9      590 22632 PING_DEATH  icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW

Chain DOS_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      285 35764 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
2     4845  376K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3      366 17804 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 30/sec burst 10
4        4   208 SYN_FLOODING  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
5        0     0 LOG        all  --  !br+   *       192.168.1.0/24       0.0.0.0/0           LOG flags 0 level 1 prefix `IP Spoofing Attack:'
6        0     0 DROP       all  --  !br+   *       192.168.1.0/24       0.0.0.0/0
7        0     0 LOG        all  --  !lo    *       12.0.0.0/8           0.0.0.0/0           LOG flags 0 level 1 prefix `LAN Attack:'
8        0     0 DROP       all  --  !lo    *       12.0.0.0/8           0.0.0.0/0
9        0     0 LOG       !udp  --  *      *       224.0.0.0/4          0.0.0.0/0           LOG flags 0 level 1 prefix `Other Attack:'
10       0     0 DROP      !udp  --  *      *       224.0.0.0/4          0.0.0.0/0
11      49  3223 UDP_FLOODING  udp  --  !br+   *       0.0.0.0/0            194.96.61.213       state INVALID,NEW
12       0     0 BCAST_STORM  all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state NEW PKTTYPE = broadcast recent: UPDATE seconds: 120 hit_cou
nt: 20 name: port_scan side: source
13     292  110K            all  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast recent: SET name: BCAST_STORM side: source
14       0     0 PORT_SCAN  all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state NEW PKTTYPE != broadcast recent: UPDATE seconds: 120 hit_coun
t: 20 name: port_scan side: source
15    1918  214K            all  --  *      *       0.0.0.0/0            0.0.0.0/0           recent: SET name: port_scan side: source
16       2    80 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29 LOG flags 0 level 1 prefix `Furtive PortScan At
tack:'
17       2    80 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29
18       0     0 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F LOG flags 0 level 1 prefix `Xmas Tree Attack:'
19       0     0 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x3F
20       0     0 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x37 LOG flags 0 level 1 prefix `Other Xmas Tree Att
ack:'
21       0     0 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x37
22       2    80 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00 LOG flags 0 level 1 prefix `Null Scan Attack:'
23       2    80 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00
24       0     0 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06 LOG flags 0 level 1 prefix `Furtive PortScan At
tack:'
25       0     0 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06
26       0     0 LOG        tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03 LOG flags 0 level 1 prefix `Furtive PortScan At
tack:'
27       0     0 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03
28       0     0 PING_DEATH  icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 5
29       0     0 PING_DEATH  icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 state NEW

Chain FW_GENERAL_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1    12646 1662K ACCEPT     all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
3        0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
4        0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
5        0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000

Chain FW_GENERAL_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     1487  200K ACCEPT     all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
3        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
4        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0
5        0     0 ACCEPT     esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0
6        0     0 ACCEPT     ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0
7        0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
8        0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
9        0     0 ACCEPT     esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0
10       0     0 ACCEPT     ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0
11       0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
12       0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000

Chain FW_TCPMSS (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1     6625  343K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU

Chain OTHER_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain OTHER_INPUT (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain PARENTAL_CONTROL (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain PF (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain PING_DEATH (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 5 LOG flags 0 level 1 prefix `ICMP Redirect Attack:'
2        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 5
3        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           length ! 0:1536
4      411 11892 RETURN     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5
5      179 10740 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 1 prefix `Ping of Death Attack:'
6      179 10740 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0

Chain PORT_SCAN (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 1 prefix `Port Scan Attack:'
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain SERVICE_CONTROL (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      809 72710 ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
2       11   544 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
3        0     0 ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
4        6   252 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:443
5        0     0 ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
6       54  2376 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
7     2678  109K ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
8       37  2180 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:23
9        0     0 ACCEPT     tcp  --  br+    *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21
10       3   120 DROP       tcp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21

Chain SYN_FLOODING (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 recent: UPDATE seconds: 60 hit_count: 1 name: S
YN_FLOOD side: source
2        4   208 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02 LOG flags 0 level 1 prefix `SYN FLOODING Attack
:'
3        4   208 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02

Chain UDP_FLOODING (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1       49  3223 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 100/sec burst 5
2        0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 1/min burst 1 LOG flags 0 level 1 prefix `UDP_FLOODING A
TTACK:'
3        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain VOIP_INPUT (3 references)
num   pkts bytes target     prot opt in     out     source               destination
1        4  1152 ACCEPT     udp  --  ppp1.1 *       0.0.0.0/0            194.96.61.213       udp dpt:5060
~ # iptables -t nat -nvL --line-numbers
Chain PREROUTING (policy ACCEPT 6758 packets, 494K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     all  --  ppp1.1 *       0.0.0.0/0            224.0.0.0/4
2     6758  494K REMOTE_MGMT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
3     6758  494K WEB_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
4     6758  494K PORT_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0
5     6758  494K DMZ        all  --  *      *       0.0.0.0/0            0.0.0.0/0
6     6758  494K IGMP_CHAIN  all  --  *      *       0.0.0.0/0            0.0.0.0/0
7     6758  494K OTHERS     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain POSTROUTING (policy ACCEPT 1614 packets, 109K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     4074  206K MASQUERADE  all  --  *      ppp1.1  192.168.1.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 1614 packets, 109K bytes)
num   pkts bytes target     prot opt in     out     source               destination

Chain DMZ (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain IGMP_CHAIN (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain OTHERS (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain PORT_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain REMOTE_MGMT (1 references)
num   pkts bytes target     prot opt in     out     source               destination

Chain WEB_REDIRECT (1 references)
num   pkts bytes target     prot opt in     out     source               destination
~ #


ich hoffe es kann dir bei mein Problem weiter helfen finde echt mist das so ne schwere geburt ist mit diesen 2 dingen nur das es die iptables änderung abspeichert damit sie nicht verloren geht und das der lausche dienst noch weg geht dann bin ich zu frieden und denn doppelten eintrag was ja auch mit tr-069 ja weg ist bzw. gefixt, nur abspeichern halt -.-* das das so schlimm wird hätte ich echt nicht gedacht, da ist quantenphysik einfacher als das hier zu speichern -.-*
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » Do 31 Jul, 2014 15:37

Hmmm... weis keiner ne Lösung :-?

Ist echt nervig immer neu zu prüfen und einzutragen :evil:

Naja, wie aussieht muss ich mein altern staubig rostteil von Router rausholen. :cry:

Hab gar Kontakt aufgenommen in Taiwan an das Entwicklungsteam und Hauptsitz. Sie werden mal schauen und werd sich dann irgendwann ma melden, kann dauern ;|

LG, Dirty Dozi
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon zid » Do 31 Jul, 2014 16:34

herzlichen glückwunsch, du hast mit dem zyx eine quantenfirewall erstanden... :lol:

hallo dozi,

ich muß gestehen, daß ich bei durchsicht deiner firewall vor lauter freud feuchte augen gekriegt hab (deshalb auch die verspätete antwort btw., sry). da waren könner am werken, die nicht mehr in kategorien der klassischen mechanik, sondern wirklich quantenmechanisch denken. chapeau, chapeau! :D
gehen wir mal deine input chain schrittweise durch:

1.
bei der ersten regel fällt sofort die trefferquote auf. bei 7459 paketen 4 hits, wir reden also über eine trefferquote von ~0,5 promille, was für eine regel, die am anfang einer chain steht, schon sehr ambitioniert ist.
dahinter steht die tiefe erkenntnis, daß eine firewall dann am effizientesten arbeitet, wenn an der spitze einer chain regeln gesetzt werden, die selten bis gar nicht zutreffen. wird dieses konzept konsequent durchgehalten, gleitet der router praktisch nahtlos vom wachzustand ins wachkoma, und im zustand des wachkomas kann bekanntlich nimmer viel passieren...
und frag mich jetzt bitte nicht, warum ausgerechnet sip wanseitig akzeptiert werden soll.

2. wirklich geil is die regel 2, das is nämlich eine astreine quantenmechanische regel:
ja, endlich! du siehst, daß in der input chain als sprungkriterium porto=tcp gesetzt is, in der subchain VOIP_INPUT hingegegn auf proto=udp geprüft wird. leute ohne tau würden jetzt wahrscheinlich behaupten, daß das ein blödsinn sei. nixi pixi- ein router verhält sich bekanntlich wie ein teilchenbeschleuniger (wir werden deshalb ab jetzt nimmer von "packerl", sondern nur noch von "teilchen" reden). und du weißt, was teilchenbeschleuniger so machen. da schickst ein teilchen a auf die reise, es macht patsch-poff-bumm und ein teilchen b kommt samt strahlung, schlunz und wwi. raus. und genau diese situation wird mit dieser regel berücksichtigt: ein tcp-teilchen kommt rein, springt in die VOIP_INPUT, es macht patsch-poff-bumm, und das udp-teilchen is schon da.
falls du mir nicht glaubst, dann setz in der VOIP_INPUT einfach einen logger:

Code: Alles auswählen
iptables -I VOIP_INPUT -p udp -j LOG --log-prefix "JUHUU! A QE occurred NOW"

"QE" steht für quantum event. danach nur noch "tail -f /var/log/messages", und schon kannst du deinem teilchenbeschleuniger erste reihe fußfrei bei der arbeit zuschauen. 1000x besser als die glotze...:D

3. regel 3 fällt auch die kategorie quantum firewalls, die details gehören dir.

4. die 4 regel is auch interessant, das is ein sprung nach DOS_INPUT
in der DOS_INPUT werden alle möglichen dos-attacken bekämpft oder auch nicht, die details liest du am besten beim fyodor nach. wirklich interessant is nur die regel 8 dieser chain. das is ein dropper für das netz 12.0.0.0/8. 12/8 gehört at&t. at&t is so'ne klitzekleine quetschn in den .us (aktuelle börsenkapitalisierung lt. bloomberg schlappe ~189 mrd. $), die kein schwein kennt und die keinen tau vom netzwerken hat und deshalb ein potentielles sicherheitsrisiko darstellt.

5. danach kommt die subchain ACL_INPUT, die leer ist. jumps in leere subchains steigern nun mal die effizienz -> stichwort wachkoma, eh schon wissen.

6. und jetzt- tata-tata- die regel nr. 6- hier wird ein spin-1/2-system berücksichtigt!
genaugenommen gehts um die regeln 7 und 8 der subchain FW_GENERAL_INPUT. hoffnungslose ignoranten würden da klassisch logisch mit de morgan argumentieren, also:
(NOT esp) OR (NOT ah) = NOT (esp AND ah) = NOT (0) = 1 = ALL
und diese 2 regeln durch eine ersetzen:

Code: Alles auswählen
iptables -A FW_GENERAL_INPUT 7 -i ! br+ -m connmark --mark 0x10000000/0x10000000 -j ACCEPT

völlig daneben, mein lieber, völlig daneben.... diese absoluten hirnis haben noch nie was von einem spin-1/2-system und quantenmechanischen superpositionen gehört. ein ip-teilchen kann durchaus in einer superposition von esp und ah vorliegen, und was mach ma dann, hmm? na, siehste... :D
doch abgesehen von der ganzen quanterei ist hier genau die lücke, nach der du suchst. es geht um die connmarks 0x10000000/0x10000000, und das sind eher viele, rechne mal nach...
d.h. ich würde jetzt keinen dropper in der input chain für den tcp/30005 setzen, sondern in der prerouting chain der mangle table mal nachschauen, welche connections mit connmarks aus 0x10000000/0x10000000 markiert werden. da wirst du ziemlich sicher noch ein paar andre leichen entdecken.

kommentare zur forward chain erspar ich mir jetzt lieber. sonst lauf ich echt gefahr, von der ju und/oder den jungs a watschn zu kriegen, bei der ich mich einringel... :lol:

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon Dirty Dozi » Do 31 Jul, 2014 22:00

Hi Zid,

Erstmal danke für deine Glückwünsche für mein Quantenfirewall, wie auch immer du das meinst denn was du da schreibst liest sich total schwer, verstehe ich nix mehr mein bin schon mehr als Verwirrt :-?

> Ping Hirn
> Ping wird ausgeführt für Hirn (127.0.0.1)
> Zeitüberschreitung der Anforderung
> Zeitüberschreitung der Anforderung
> Zeitüberschreitung der Anforderung
> Zeitüberschreitung der Anforderung
> Ping-Statistik für Hirn:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),
> Keine Echo-Antwort auf Hirn, Gerät ist anscheind inaktiv
> Wenden Sie sich an einen Techniker

So fühle ich mich gerade von deine Beschreibung hier :rotfl: :rofl:

Also willst mir sagen das mein Firewall des ZsXEL Router für denn A***h ist und ein reines Sicherheitsrisiko :shock:
Na das find eich mal wieder toll oder wie soll ich deine äußerung verstehen :-?

Das lustige ist auch noch ich nütze nicht mal nen SIP Phone oder sonstiges Gerät -.-

Der ganze Router OS und Programmierung schein ein Fail zu sein weil auch keine Mail Logs kriege von Simulierten Attacken und Anfragen, wo ich eigenlich eingestellt hab und auch das er andere Sachen Protokoliert und nicht nur Attacken & Co sonder auch wenn neue Geärte versuchen ins Netz änderung der DHCP IP aber krieg überhaupt keine Logs und anscheind noch andere Bugs. :-?

Erkläre das mal für DAUs verstehe echt nur Bahnhof und keine Roman darüber^^ Ich knall e schon meine Birne gegen mein Schreibtisch und auch gegen die Wand :banghead:

Was meinst die Dinger mit denn connmarks 0x10000000/0x10000000 und leichen, du machst mir angst! :shock: :eek:

Soll ich das Teil jetzt mit Benzin übergießen und anzünden oder wie soll ich das verstehen! Hey anzünden das wäre dann mal wortwörtlich gemeinte (Fire)wall ^^

lg, Dirt Dozi
Dirty Dozi
Neu im Board
Neu im Board
 
Beiträge: 18
Registriert: Mi 23 Jul, 2014 10:24
Wohnort: Area 52, Location Top Secret

Re: VDSL Router konfigurieren und änderung speichern

Beitragvon zid » So 03 Aug, 2014 14:16

:lol:

hallo dozi,

>"... Keine Echo-Antwort auf Hirn, Gerät ist anscheind inaktiv..."
also probleme mit ping und inaktivem gerät hab ich nicht. wenn kein gerät vorliegt, erübrigt sich die pingerei... :D
die kritik ist nur ironisch formuliert, wir wollen ja auch was zum lachen haben- trotz deiner unangenehmen situation.
nichtsdestotrotz bleibt sie inhaltlich voll aufrecht. die zyxel'sche firewall verstößt gegen 2 elementare grundprinzipien zur konfiguration von firewalls, die da lauten:

1. einfachheit
eine firewall sollte innerhalb einer vorgegebenen sicherheitspolitik möglichst einfach formuliert werden.
die gründe sind klar:

- jede regel enthält einen matcher, und der router muß für jedes paket nachrechnen, ob ein match vorliegt.
mit zunehmender regelanzahl steigt der beschäftigungsgrad und resourcenbedarf des router.

- das konfigurationsrisiko steigt mit zunehmender komplexität der firewall:
fängt schon bei banalen tippfehlern an und hört bei logischen fehlern auf.

- reaktionszeit bei problemen:
sollte klar sein- eine firewall mit hausnummer 10 regeln ist schneller gesichtet und korrigiert als eine mit 50.
schau dir z.b. mal die 2. regel der input chain an:
der counter steht auf 3768. der router hat also 3768x erfolgreich proto=tcp festgestellt und diese 3768 pakete in die subchain VOIP_INPUT geschickt, wo aber auf udp geprüft wird, d.h. der akkumulierte vergleich kann nie positiv ausfallen (quanteneffekte laß ma jetzt ausnahmsweise mal außen vor ;)). bedeutet somit weiter, daß 2x3768 = 7536x ins leere gerechnet wurde.
du wirst mir jetzt möglicherweise haarscharf sagen:"heast, oida, moch da net ins hemd. mia redn über 3768 packerl. is des net wuascht?" nö, die 3768 sind ca. 50% der input packerl, und wenn ein router wegen einer verkonfigurierten firewall völlig unnötig für 50% der packerl ins leere rechnet, dann is das überhaupt nimmer wuascht.
ähnlich verhält es sich btw. mit der regel 3, und am krassesten ist die forward chain. die könnte bei einem genatteten zugang leer bleiben. d.h. der rechenaufwand, der durch die forward chain verursacht wird, is zu 100% für die fisch.


2. die reihung der regeln ist bei sicherheitstechnischer äquivalenz nach fallender trefferwahrscheinlichkeit vorzunehmen
liest sich jetzt vielleicht im ersten moment etwas kompliziert, is aber ganz einfach. es geht hier um effizienz.
das prinzip lautet: je früher ein hit desto geringer der rechenaufwand. dabei darf natürlich das vorgegebene sicherheitskonzept nicht aufgeweicht werden.
zur illustration wieder eine regel aus deiner zyxel firewall:
es geht um die erste regel der subchain FW_GENERAL_INPUT:

Code: Alles auswählen
1     1487  200K ACCEPT     all  --  !br+   *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

diese regel steht relativ zur input chain inkl. jumps an 37. stelle (wenn ich mich nicht verzählt hab), und auf dieser regel liegen immerhin 1487 hits. d.h. es waren insgesamt (37-1) x 1487 = 36 x 1487 = 53532 erfolglose tests notwendig, um auf dieses erfolgreiche accept zu kommen. stünde diese regel an erster stelle, dann wären (1-1) x 1487 = 0 x 1487 = 0 erfolglose tests notwendig, um zum selben resultat zu kommen. und das ganze bitte, *ohne beim sicherheitskonzept nachzulassen*, alles andre wär ja witzlos.

daß es auch anders geht, wird einem sehr eindrucksvoll z.b. von den mikrotik/routeros entwicklern vor augen geführt.
(kleine nebenbemerkung , falls dir "mikrotik/routeros" kein begriff ist: das sind sehr nette geräte, die zu meinen lieblingsspielzeugen gehören).
das default setup schaut ca. so aus (hab grad auf einem gerät mit der r5.23 nachgeschaut):
1. ethport1 ist wan, heißt ether1-gateway und wird mit dhcp konfiguriert. alle andren ports sind lan.
2. die firewall im iptables jargon:

Code: Alles auswählen
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m conntrack --cstate ESTABLISHED -j ACCEPT
iptables -A INPUT -m conntrack --cstate RELATED -j ACCEPT
iptables -A INPUT -i ether1-gateway -j DROP

iptables -t nat -A POSTROUTING -o ether1-gateway -j MASQUERADE

forward und output chain sowie die mangle table sind leer

insgesamt also inkl. masquerading 5 regeln, und diese firewall ist sicher und effizient. durch ihre einfachheit sieht man auf einen blick, daß da nix anbrennen kann. da brauchts keine tulpen, portscans, logs und wwi.

>"...Also willst mir sagen das mein Firewall des ZsXEL Router für denn A***h ist und ein reines Sicherheitsrisiko..."
das sicherheitsrisiko kann man ohne kenntnis der mangle table gar nicht genau abschätzen, weil die input chain über firewall marker (ich nenn die dinger ab jetzt fwmark[s] und komm dann weiter unten noch auf die details zurück) gesteuert wird, die in der prerouting oder input chain der mangle table gesetzt werden. genaugenommen gehts um diese doppelt gemoppelte sequenz (sehr sinnvoll btw.) der chain FW_GENERAL_INPUT:

Code: Alles auswählen
...
7        0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
8        0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
...
...
11       0     0 ACCEPT    !esp  --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000
12       0     0 ACCEPT    !ah   --  !br+   *       0.0.0.0/0            0.0.0.0/0           MARK match 0x10000000/0x10000000

wirklich schlagend für deine tulpen (=aktive tcp- und udp-dienste deines zyx) ist die regel 7, die andren 3 regeln sind für die fisch. und im hinblick auf deine tulpen sieht die situation aktuell so aus:

aktive tcp-dienste: tcp/21, 22, 23, 53, 80, 263, 443, 5916, 30005, 44401
wanseitig sicher offen: tcp/30005 (deine recherchen)
wanseitig gefiltert: tcp/21, 22, 23, 80, 443 (sieht man an den stats der chain SERVICE_CONTROL)
wanseitig unklarer status: tcp/263, 5916, 44401

aktive udp-dienste: udp/53, 67, 69, 263, 5098, 5099, 5100, 8011, 8012, 38000, 38032, 42000, 42032, 43000, 50000, 50032
wanseitig unklarer status: alle aktiven dienste

d.h. du mußt in der mangle table nachschauen, ob bzw. welche dienste mit wanseitig unklarem status mit fwmarks aus der menge 0x10000000/0x10000000 markiert werden.
falls dir die rumwühlerei in der mangle table zu nervig is, kannst du die ungefilterten ports auch mit einem portscanner *von außen* eruieren, wobei du bei udp a bizzi aufpassen mußt, weil open und filtered bei udp nicht unterscheidbar sind. der udp-scan rennt so ab:

1. du setzt vor dem enddropper der input chain eine logging-regel:

Code: Alles auswählen
iptables -I INPUT 9 -i ppp1.1 -p udp -j LOG --log-prefix "IN-UDP-FILTERED"

2. udp-scan für
udp/53, 67, 69, 263, 5098, 5099, 5100, 8011, 8012, 38000, 38032, 42000, 42032, 43000, 50000, 50032
durchführen.

3. jene ports, die im output von

Code: Alles auswählen
grep "IN-UDP-FILTERED" /var/log/messages

aufscheinen, sind filtered, jene, die nicht aufscheinen, sind open.


details zu den fwmarks:
fwmarks sind einfach numerierte etiketten, die man in der mangle table nach irgendwelchen kriterien an die packerl nageln kann, um sie dann in der filter oder nat table zur steuerung der firewall oder mit iproute2 zur formulierung von komplexeren routing policies zu verwenden. um irgendwelche fwmark-basierte filterkriterien überhaupt formulieren zu können, muß man die fwmarks als menge charakterisieren. und diese charakterisierung erfolgt in form eines kürzels, das das format
zielwert/mask
hat. dieses format schaut im ersten moment vielleicht a bißl esoterisch aus, is aber völlig unspannend. kennst du von der charakterisierung von ip-netzen. wenn ich z.b. von 10.0.0.0/26 rede, dann weißt du sofort, daß ich die menge
{10.0.0.0, 10.0.0.1,...10.0.0.63} meine. und genau so verhält es sich mit den fwmarks:

ein fwmark-basiertes filterkriterium ist genau dann wahr, wenn
fwmark-von-paket AND mask = zielwert
gilt.


dazu ein kleines beispiel:
du willst aus irgendwelchen gründen 3 regeln in die chain my_chain einfügen, die folgendes leisten sollen:
- regel1 soll zutreffen für fwmarks <= 3 und dann target1 ausführen.
- regel2 soll zutreffen für alle ungeraden fwmarks mit 4 <= fwmark <= 15 und dann target2 ausführen.
- regel3 soll zutreffen für alle geraden fwmarks mit 4 <= fwmark <= 15 und dann target3 ausführen.
um dieses regelwerk zu setzen, verwendest du genau das kürzel von oben:

Code: Alles auswählen
iptables -A my_chain -j target1 -m mark --mark 0x0/0xc
iptables -A my_chain -j target2 -m mark --mark 0x1/0x1
iptables -A my_chain -j target3 -m mark --mark 0x0/0x1

so, und jetzt schau ma, was passiert:

1. ein paket mit fwmark=1 kommt rein:
fwmark AND mask = 1 AND 0xc = 0001 AND 1100 = 0000 = 0x0 = zielwert1 => true => jump to target1.

2. ein paket mit fwmark=2 kommt rein:
fwmark AND mask = 2 AND 0xc = 0010 AND 1100 = 0000 = 0x0 = zielwert1 => true => jump to target1.

3. ein paket mit fwmark=3 kommt rein:
fwmark AND mask = 3 AND 0xc = 0011 AND 1100 = 0000 = 0x0 = zielwert1 => true => jump to target1.

4. ein paket mit fwmark=4 kommt rein:
fwmark AND mask = 4 AND 0xc = 0100 AND 1100 = 0100 = 0x4 != zielwert1 => false => go to rule2
- rule2
fwmark AND mask = 4 AND 0x1 = 0100 AND 0001 = 0000 = 0x0 != zielwert2 => false => go to rule3
- rule3
fwmark AND mask = 4 AND 0x1 = 0100 AND 0001 = 0000 = 0x0 = zielwert3 => true => jump to target3

5. ein paket mit fwmark=5 kommt rein:
fwmark AND mask = 5 AND 0xc = 0101 AND 1100 = 0100 = 0x4 != zielwert1 => false => go to rule2
- rule2
fwmark AND mask = 5 AND 0x1 = 0101 AND 0001 = 0001 = 0x1 = zielwert2 => true => jump to target2
...
... usw.
alles klaro in der birno? ;)


>"...Soll ich das Teil jetzt mit Benzin übergießen und anzünden oder wie soll ich das verstehen! Hey anzünden das wäre dann mal wortwörtlich gemeinte (Fire)wall..."
jaaa, die idee kann was. ein router, der net brennt, is sowieso urfad... :lol:
doch spaß beiseite. ich denke, du wirst ein mehrphasenprogramm fahren müssen:
1. rausfinden, obs außer dem tcp/30005 noch andre offene ports gibt -> s. o.
2. alle offenen ports schließen, egal ob sich diese einstellungen jetzt sichern lassen oder nicht.
3. feature request bei zyxel: lokale einstellungen, die auf der shell vorgenommen wurden, sollen gesichert werden können.
potentielle kandidaten sind dateien unter /data, die dann beim start ausgeführt werden müssen, oder nvram-variablen nach dem schema von openwrt, dd-wrt, tomato...

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien

VorherigeNächste

Zurück zu ADSL & xDSL

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 36 Gäste