Firewall Eigenbau (IPFire alix) just for fun

Schönen guten Abend zusammen,

Ich mal wieder 😉

Bin mittlerweile auf ein Alixboard umgestiegen Funktioniert alles soweit Prima, nur was echt komisch ist, wenn ich die IP der TV Box in der igmpproxy.con eintrage habe ich nach 10 Sek. freeze, wenn ich die IP auskommentiere dann lauft es 1a.. aber Replay geht nicht.. Hat jemand ne idee an was das liegen könnte?

Grüsse

Am einfachsten du postest einfach die igmpproxy.conf.

Replay ist vom igmpproxy unabhängig. Hast du asugehende Filter konfiguriert welche die STB blocken könnten?

Naben,

Also ausgehend ist speziell eigentlich nichts eingerichtet.
so wie hier die /etc/igmpproxy.conf ist wird sie im Moment eingesetzt und SC TV geht, nur replay nicht.

########################################################
#
#   Example configuration file for the IgmpProxy
#   --------------------------------------------
#
#   The configuration file must define one upstream
#   interface, and one or more downstream interfaces.
#
#   If multicast traffic originates outside the
#   upstream subnet, the "altnet" option can be
#   used in order to define legal multicast sources.
#   (Se example...)
#
#   The "quickleave" should be used to avoid saturation
#   of the upstream link. The option should only
#   be used if it's absolutely nessecary to
#   accurately imitate just one Client.
#
########################################################

##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave


##------------------------------------------------------
## Configuration for eth0 (Upstream Interface)
##------------------------------------------------------
phyint red0 upstream  ratelimit 0  threshold 1
	altnet 239.0.0.0/8    #MBONE
	altnet 224.0.0.0/4    #Well known Mcst
	altnet 195.186.0.0/16 #Swisscom Infra
#	altnet 192.168.10.0/24
#	altnet 192.168.10.103/32 #SCTV Master Box
	

##------------------------------------------------------
## Configuration for eth1 (Downstream Interface)
##------------------------------------------------------
phyint green0 downstream  ratelimit 0  threshold 1
#	altnet 192.168.10.0/24
#	altnet 192.168.10.103/32   #SCTV Master Box
		

##------------------------------------------------------
## Configuration for eth2 (Disabled Interface)
##------------------------------------------------------
phyint tun0 disabled
phyint red0 disabled
phyint orange0 disabled

die STB hat bei mir die  192.168.10.103

sobald ich bei der *.103 die # wieder entferne bekomme ich einen freeze nach 10 Sekunden

Ich würde nur entweder das Netz oder die spezifische IP freigeben und nicht beides.

Aber so lange es funktioniert... 🙂

Replay ist kein Problem. Diese Streams sind ja unicast. Hier würde ich an deiner Stelle mal nach den Replay Versuchen in der Firewall Log nach der IP der STB suchen. 

logs>Firewall-Logdateien

Und wie immer. Die Firewall nach Änderungen an der igmpproxy.conf neu starten.

im moment ist ja nichts von den beiden freigegeben, sind beide auskommentiert und es lauft trotzdem..

ich habe nur beide einträge drin weil ich etwas rumprobiert habe und dabei ist mir aufgefallen, das es nur geht wenn ich beides auskommentiert habe, was ja eigentlich nicht sinn und zweck ist..

ich verstehe nur nicht warum es lauft ohne das die Einträge aktiv sind...

die Firewall log werde ich mir nachher mal anschauen ich probiere mal einbisschen rum

ich habe mir mal anzeigen lassen was passiert während man auf replay geht mit

tail -f -n 0 /var/log/messages

Dec  2 21:11:42 alix igmpproxy[3151]: The source address 192.168.10.103 for group 239.255.255.250, is not in any valid net for upstream VIF.
Dec  2 21:11:46 alix igmpproxy[3151]: The source address 192.168.10.100 for group 239.255.255.250, is not in any valid net for upstream VIF.
Dec  2 21:11:50 alix dnsmasq[2578]: reading /var/state/dhcp/dhcpd.leases
Dec  2 21:11:54 alix igmpproxy[3151]: The source address 192.168.10.103 for group 239.255.255.250, is not in any valid net for upstream VIF.

 das ist aber auch gekommen währen ich normal am tv schauen bin..

Hallo zusammen

Ich habe auf meinem ALIX Board die neue Core 73 von IPfire installiert (update). Seitdem scheint Replay nicht mehr zu funktionieren. Ich habe alle Einstellungen überprüft, sie entsprechen noch den Settings vor der Installation. Wenn ich Replay auf der Swisscom Box ausführen will, erscheint kurz die Meldung "Inhalte werden geladen Bitte warten..." an der oberen Bildschirmhälfte, nach ca. 20-30 Sekunden erscheint: Die gewählte Sendung kann im Moment nicht abgespielt werden...

Weiss jemand, was das sein kann, resp. hat jemand ähnliche Probleme? Vielen Dank für eure Hilfe

Hi wheeler,

Genau so verhält es sich bei mir auch, nur das ich direkt die 73er installiert hatte. Aber zuvor noch die ich glaube Core 53er hatte mit der es ging.. hab aber kein Plan woran es liegt.. :(, vielleicht kann Tux uns weiterhelfen.. mal abwarten und tee trinken

Ich verwende seit einigen Monaten die neue forwarfw. So bin ich momentan im 15er branch was wohl die nächste Version 2.15 Core 75? ergeben könnte/sollte.

Ich stelle keine Probleme fest.

Habt ihr auf der Firewall den Proxy aktiviert? Kann es sein das durch das Update der Intercept-Modus der Firewall aktiviert wurde? Ich sehe im changelog ansonsten keine Änderung welche dieses Verhalten gerade erklären könnte.

Im Firewall Log des WUI ist auch nichts besonderes ersichtlich?

Die neue Firewall findest du zB. hier http://forum.ipfire.org/index.php?topic=7346.0

Es gibt ein Update Script welches die Firewall installiert.

In deinem Fall würde ich den Proxy auf jeden Fall mal deaktivieren. Für mich ist es einfach seltsam das dieses Update bei aktiviertem Proxy zusätzlich transparent aktiviert wird.

Müsste mich mal mit dem beschäftigen.

Da ich aber mit 2.15 zufrieden bin sehe ich keinen Bedarf dazu 🙂

Neuer erkenntnisse, aber keine lösung...

1. sobald ich den transparenten web proxy ausschalte kann ich replay und alles andere schauen

1.1 schalte ich diesen ein, geht alles bis auf replay

1.2 trage ich die IP der STB in die Uneingeschränkte IP-Adressen im webproxy ein, hat dies keinen einfluss, auch nicht über die MAC Adresse

2. igmp proxy, die IP der STB ist immer auskommentiert, warum lauft diese denn überhaupt?

Ziel ist natürlich das alle Dienste funktionieren.. 🙂 schau morgen mal weiter in den logs des proxys.. müsste man ja irgendawas finden was es verursacht

Sobald der transparente Proxy ausgeschaltet ist, funktioniert alles inkl. Replay. Liegt also von mir aus gesehen klar an dem.

Ich habe die neue Firewall (beta7) installiert und getestet, scheint gut zu funktionieren. Im Moment ist sie aber wieder deinstalliert, weil ich trotzdem eine Verlangsamung des Netztes festgestellt habe. Ist aber sicher eine gute Lösung. Mein Swisscom Modem wurde nicht mehr automatisch als DNS Server erkannt als die neue Firewall aktiviert war und ich musste die IP manuell eingeben.

Ich konnte leider in den Logs des igmp nichts erkennen was dafür verantwortlich wäre. Auch im Moment der Fehlermeldung der STB gibt es keine Logeinträge. 

Über den transparenten Proxy habe ich Replay auch nie hinbekommen.

Es nützt auch nichts die IP in den WUI Einstellungen freizugeben. Die Erklärung dazu findet man im Manual:

4.6.5 Uneingeschränkte IP-Adressen
Alle Clients mit den hier aufgelisteten IP-Adressen setzen sich über folgende Einschränkungen hinweg:

 Zeitbeschränkungen
 Größenbeschränkungen für Downloads
 Downloaddrosselung
 Browser-Prüfung
 MIME-Type Filter
 Authentifizierung (wird als Voreinstellung für diese Adressen gefordert, kann aber deaktiviert werden)
 Gleichzeitige Anmeldungen pro Benutzer (nur verfügbar in Verbindung mit Authentifizierung)

4.6.6 Uneingeschränkte MAC-Adressen
Alle Clients mit den hier aufgelisteten MAC-Adressen setzen sich über folgende Einschränkungen hinweg:

 Zeitbeschränkungen
 Größenbeschränkungen für Downloads
 Downloaddrosselung
 Browser-Prüfung
 MIME-Type Filter
 Authentifizierung (wird als Voreinstellung für diese Adressen gefordert, kann aber deaktiviert werden)
 Gleichzeitige Anmeldungen pro Benutzer (nur verfügbar in Verbindung mit Authentifizierung)

http://www.advproxy.net/documentation/ipcop-advproxy-de.pdf

Es ist sowieso fraglich ob es das Ziel sein soll die IPTV Streams durch den Proxy zu drücken. Mir reicht die Fussboden Heizung eigentlich schon. 🙂 Die CPU ist mit den ~40GB TOR Relay Traffic die täglich über meinen Anschluss laufen schon genug beschäftigt.

Auch bei mir ist der Proxy am Werk. Allerdings im Zusammenhang mit der neuen Firewall welche sämtlichen nicht freigegebenen ausgehenden Traffic der nicht über den Proxy führt sperrt. Damit kann ich den Proxy erzwingen ohne ihn transparent schalten zu müssen und gebe gezielt Devices oder Services frei welche sonst noch benötigt werden, zB. die STB, Mails usw. Dies ist mit der neuen Firewall sehr einfach zu lösen.

So nebenbei ist die ipfire bei mir so ziemlich die erste Firewall beim Endkunden über welchen neue Services und Produkte der Swisscom laufen. Man ist also gewappnet. Bisher gab es noch nichts was nicht zu lösen ist 😃

Man ist also noch lange nicht auf die Idioten-Box, sorry Internet-Box, angewiesen.

Ich habe eine pfSense Firewall und seit neustem den transparent Proxy (squid3-dev) installiert. Leider funktioniert auch bei mir seither die Reply funktion auf meiner Set-Up Box nicht mehr.

Im Squid access.log finde ich nur folgendes:

1390507699.074  10662 192.168.1.10 TCP_MISS_ABORTED/200 329053 GET http://195.186.182.97/timeshiftmedia - HIER_DIRECT/195.186.182.97 application/octet-stream

Hat jemand einen Tipp, wie ich transparent Proxy & Swisscom TV Replay zum laufen kriege? Beim Transparent Proxy kann ich ja angeblich keinen Bypass/Whitelist machen...

Edit:

Ich habe bereits eine Lösung gefunden. In pfSense gibt es unter "Transparent Proxy" folgende Option:

Hier muss das Swisscom Subnetz eingetragen werden. 

Meine Vermutung ist, dass die NAT-Rule angepasst wird und so für Verbindungen zu diesem Subnetz die HTTP/HTTPS Requests nicht umleitet. In der Squid.conf konnte ich nämlich keine änderung feststellen.

Gruss

scream88

Bei ipfire kann man versuchen das Subnet 195.186.0.0/16 unter "Diese Domains nicht zwischenspeichern" einzutragen.

Kann dies selber nicht 1:1 testen...

Ich bin leider, nach mehreren Stunden einfach hoffnungslos. Die Freez halten bei mir an, alle 10 Sekunden.

Die Konfiguration meiner Ipfire:

#!/bin/sh
# Used for private firewall rules
# See how we were called.
case "$1" in
  start)
        ## add your 'start' rules here
        /sbin/iptables -I IPTVFORWARD -i red0 -d 224.0.0.0/4 -j
ACCEPT
        /sbin/iptables -I IPTVINPUT -i red0 -d 224.0.0.0/4 -j ACCEPT
        # end for igmpproxy
        ;;
  stop)
        ## add your 'stop' rules here
  #start for igmpproxy
        /sbin/iptables -D IPTVINPUT -i red0 -d 224.0.0.0/4 -j ACCEPT
        /sbin/iptables -D IPTVFORWARD -i red0 -d 224.0.0.0/4 -j
ACCEPT
       # end for igmpproxy
       ;;
  reload)
      $0 stop
      $0 start
      ## add our 'reload' rules here
      ;;
*)
      echo "Usage: $0 {start|stop|reload}"
      ;;
esac
---------------------------------------------------------

# power button shutdown
if grep -q '^button' /proc/modules ; then
    ( head -1 /proc/acpi/event | grep -q 'button/power PWRF' &&
poweroff ) &

fi

/usr/local/sbin/igmpproxy /etc/igmpproxy.conf &
------------------------------------------------------------

  GNU nano 2.2.6         File: /etc/igmpproxy.conf

##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave


##------------------------------------------------------
## Configuration for eth0 (Upstream Interface)
##------------------------------------------------------
phyint red0 upstream  ratelimit 0  threshold 1
        altnet 239.0.0.0/8       #MBONE
        altnet 224.0.0.0/4       #Well know Mcst
        altnet 195.186.0.0/16    #Swisscom Infra
        altnet 192.168.111.0/24    #SCTV Master Box

##------------------------------------------------------
## Configuration for eth1 (Downstream Interface)
##------------------------------------------------------
phyint green0 downstream  ratelimit 0  threshold 1
        altnet 192.168.111.0/24    #SCTV Master Box

##------------------------------------------------------
## Configuration for eth2 (Disabled Interface)
##------------------------------------------------------
phyint tun0 disabled
phyint red0 disabled
phyint orange0 disabled
-----------------------------------------------------------------------

Fehlermeldung:

igmpproxy:

MRT_DEL_MFC; Errno(2): No such file or directory
The origin for route 239.255.255.250 changed from 192.168.111.75 to 192.168.111.78
The origin for route 239.255.255.250 changed from 192.168.111.78 to 192.168.111.75
The origin for route 239.255.255.250 changed from 192.168.111.75 to 192.168.111.78
The origin for route 239.255.255.250 changed from 192.168.111.78 to 192.168.111.75
The origin for route 239.255.255.250 changed from 192.168.111.75 to 192.168.111.78
The origin for route 239.255.255.250 changed from 192.168.111.78 to 192.168.111.75
The origin for route 239.255.255.250 changed from 192.168.111.75 to 192.168.111.78
The origin for route 239.255.255.250 changed from 192.168.111.78 to 192.168.111.75

messages:

Feb  1 23:49:07 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:30:18:a3:2e:a4:00:90:d0:63:ff:04:08:00 src=157.56.116.204 DST=178.199.93.165 LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=32218 DF PROTO=TCP SPT=12350 DPT=53143 WINDOW=31 RES=0x00 ACK FIN URGP=0
Feb  1 23:49:09 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:30:18:a3:2e:a4:00:90:d0:63:ff:04:08:00 src=157.56.116.204 DST=178.199.93.165 LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=32219 DF PROTO=TCP SPT=12350 DPT=53143 WINDOW=31 RES=0x00 ACK FIN URGP=0
Feb  1 23:49:13 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:30:18:a3:2e:a4:00:90:d0:63:ff:04:08:00 src=157.56.116.204 DST=178.199.93.165 LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=32220 DF PROTO=TCP SPT=12350 DPT=53143 WINDOW=31 RES=0x00 ACK FIN URGP=0
Feb  1 23:49:20 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:30:18:a3:2e:a4:00:90:d0:63:ff:04:08:00 src=157.56.116.204 DST=178.199.93.165 LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=32221 DF PROTO=TCP SPT=12350 DPT=53143 WINDOW=31 RES=0x00 ACK FIN URGP=0
Feb  1 23:49:35 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:30:18:a3:2e:a4:00:90:d0:63:ff:04:08:00 src=157.56.116.204 DST=178.199.93.165 LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=32222 DF PROTO=TCP SPT=12350 DPT=53143 WINDOW=31 RES=0x00 ACK FIN URGP=0
Feb  1 23:49:59 ipfire sshd[5519]: Accepted password for root from 192.168.111.78 port 51348 ssh2
Feb  1 23:50:06 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=00:30:18:a3:2e:a4:00:90:d0:63:ff:04:08:00 src=157.56.116.204 DST=178.199.93.165 LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=32223 DF PROTO=TCP SPT=12350 DPT=53143 WINDOW=31 RES=0x00 ACK FIN URGP=0
Feb  1 23:51:37 ipfire kernel: DROP_OUTPUT IN=green0 OUT=red0 MAC=00:30:18:a3:2e:a5:00:22:15:00:48:86:08:00 src=192.168.111.77 DST=108.160.162.76 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=3200 DF PROTO=TCP SPT=51615 DPT=443 WINDOW=0 RES=0x00 ACK RST URGP=0

Leider weiss ich nicht mehr weiter, ich hoffe jemand kann mir helfen.

Nimm versuchsweise mal die beiden Zeilen "altnet 192.168.111.0/24" aus der igmpproxy.conf raus (einmal beim upstream- und einmal beim downstream-Interface). Zumindest unter OpenWRT gehts ohne diese.

Vermute ich richtig, dass du 2 TV-Boxen hast und diese die IPs .75 und .78 haben?

(Edit: ich vermutete wohl falsch, das ist ja UPnP.)

Das Subnetz entfernen auf der igmpproxy.conf hat geholfen.

Danke und ein schöner Sonntag 😄

Habe auch das advanced web proxy deaktiviert und dann das Packet igmpproxy installiert.