Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / Chyba pri konfiguraci firewallu pres UCI
- - Od Sova Dne 2014-06-24 14:14
Nekde ve skriptech, ktere parsuji /etc/config/firewall, je zrejme preklep. Pri pokusu o zadani pravidla, ktere by se aplikovalo na odchozi provoz, se objevi chyba

Warning: fw3_ipt_rule_append(): Can't find target 'zone_wan_dest_accept'

Pravdepodobne jde o to, ze pravidlo melo skoncit v chainu zone_wan_dest_ACCEPT. Mozna je samozrejme i druha varianta - ze ten chain ma byt cely psan s malymi pismeny.

Zkusil by se na to nekdo prosim podivat, pripadne (pokud to neni vec Turrisu) to nahlasit do upstreamu?

Diky!
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-06-24 15:20
Můžete prosím dát příklad pravidla, které nefunguje?
Nadřazený - - Od Sova Dne 2014-06-24 18:42
Omlouvam se - jak vidim s odstupem, napsal jsem to trochu moc strucne. Uvedena hlaska se objevi, pokud v /etc/config/firewall napisu cast ve tvaru

config rule
   option src 'lan'
   option dest 'wan'
   [...]

a restartuju firewall. Parsovaci skripty se pak zrejme snazi vlozit pravidlo do vyse uvedeneho chainu - a ten neexistuje (resp. existuje, ale s koncovym 'ACCEPT' misto 'accept').
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2014-06-25 09:22
Můžete to pravidlo prosím napsat celé bez výpustek? Takhle stále nevím, co přesně se snažíte vytvořit.
Nadřazený - Od Sova Dne 2014-06-26 09:23
Všachna pravidla už asi ne. Když jsem zjistil problémy, trochu jsem konfiguraci 'překopal'. Jednu ukázku mám určitě, tam jsem pravidlo jen zakomentoval. To, co jsem napsal výše, byla ta část pravidel (těch, při jejichž parsování se objevily chyby), která jim byla společná.

config rule
        option name 'Allow-lan-HTTP'
        option src 'lan'
        option dest 'wan'
        option proto 'tcp'
        option dest_port '80'
        option target 'ACCEPT'
        option family 'ipv4'

Žádné jiné zásahy u ostatních pravidel nebyly, lišilo se to jen v běžných věcech (tcp/udp, číslo portu). Všechno bylo v ipv4. Ostatní pravidla, například

config rule
        option name 'Allow-lan-DNS'
        option src 'lan'
        option proto 'tcpudp'
        option dest_port '53'
        option target 'ACCEPT'
        option family 'ipv4'

(to skončí v zone_lan_input), projdou bez problémů.
Nadřazený - - Od tr3027 Dne 2014-06-30 21:04
"poslušně hlásím" že mám stejný problém. Vytvořil jsem guest WLANu, jejíž zóna má "option forward 'REJECT'". A v okamžiku, kdy jí přidám nějaké pravidlo pro povolení přístupu do WAN, tak se po uložení/aktivaci neobjeví v LuCi->Status->Firewall. A pokud provedu /etc/init.d/firewall restart, tak dostávám u takového pravidla stejnou hlášku jako kolega.

Jedno z pravidel:
config rule
   option target 'ACCEPT'
   option dest 'wan'
   option proto 'tcp'
   option dest_port '80 443'
   option src 'guest'
   option name 'guests-2-world-HTTP-S'

část výpisu z restartu firewallu:
* Populating IPv4 filter table
   * Zone 'lan'
   * Zone 'wan'
   * Zone 'guest'
   * Rule 'Allow-Ping'
   * Rule 'guests-2-world-HTTP-S'
Warning: fw3_ipt_rule_append(): Can't find target 'zone_wan_dest_accept'
Warning: fw3_ipt_rule_append(): Can't find target 'zone_wan_dest_accept'
   * Rule 'guests-2-DNS'
   * Rule 'guests-2-world-ICMP'
Warning: fw3_ipt_rule_append(): Can't find target 'zone_wan_dest_accept'
Warning: fw3_ipt_rule_append(): Can't find target 'zone_wan_dest_accept'
   * Rule 'guests-2-DHCP'

Co s tím?
Nadřazený - Od Štěpán Henek Dne 2014-07-02 15:16
Dobrý den,

o problému víme a pokud se nestane nic neočekávaného, tak by měl být po dalším updatu odstraněn.

Jako prozatimní řešení lze použít /etc/firewall.user, kam můžete vkládat pravidla pro firewall přímo.
např.

iptables -I X zone_lan_forward -p tcp -m tcp --dport 80 -m comment --comment guests-2-world-HTTP-S -j zone_wan_dest_ACCEPT
iptables -I X zone_lan_forward -p tcp -m tcp --dport 443 -m comment --comment guests-2-world-HTTP-S -j zone_wan_dest_ACCEPT
Nahoru Téma Majitelé routerů / Technická podpora / Chyba pri konfiguraci firewallu pres UCI

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill