- Registriert
- 4. Mai 2010
- Beiträge
- 5.844
- Lösungen
- 37
- Reaktionspunkte
- 16.889
- Punkte
- 3.570
Hallo Freunde!
Immer wieder taucht die Frage auf, ob und wie man iptables in Freetz-ng nutzen kann. Aktuell wird iptables dort leider nicht mehr unterstützt. Nun die große Frage: Lässt sich das vielleicht doch irgendwie wieder zum Leben erwecken? Vielleicht sogar mit einem Patch oder einem cleveren Trick? Dafür suchen wir jemanden, der Lust hat, ein bisschen zu tüfteln, zu testen und uns anschließend zu berichten, ob das Ganze überhaupt nützlich ist – oder eher ein spannendes Experiment bleibt. Also: Wer hat Mut, Neugier und ein bisschen Zeit übrig? Vielleicht bringt das ja neue Ideen ins Projekt oder deckt alte Fehler auf. Und wer weiß – eventuell hilft ein schlauer Tipp von euch weiter,
Warum iptables in Freetz-ng nicht mehr läuft – und was stattdessen geht.
Das klassische iptables-Userland-Tool ist in der Freetz-ng-Toolchain nicht mehr enthalten — AVM hat es entfernt, und Freetz-ng spart sich den Ballast aus Platzgründen ebenfalls.
make menuconfig → Packages → Networking → nftables auswählen
Danach steht dir auf der Box /usr/sbin/nft zur Verfügung — und du bist wieder voll handlungsfähig in Sachen Firewall-Regeln
Beispiel (entspricht alten iptables-Regeln):
Das ist der moderne und saubere Weg — keine Patches an der Originalfirmware nötig.
Patch direkt in die Original-Firmware
PS: Ich lasse mir dabei von ChatGPT helfen – vielleicht ist das für euch auch eine nützliche Unterstützung.
Speziell für diesen Fall wurde eine passende Syntax hier für nun mal erstellt.
Immer wieder taucht die Frage auf, ob und wie man iptables in Freetz-ng nutzen kann. Aktuell wird iptables dort leider nicht mehr unterstützt. Nun die große Frage: Lässt sich das vielleicht doch irgendwie wieder zum Leben erwecken? Vielleicht sogar mit einem Patch oder einem cleveren Trick? Dafür suchen wir jemanden, der Lust hat, ein bisschen zu tüfteln, zu testen und uns anschließend zu berichten, ob das Ganze überhaupt nützlich ist – oder eher ein spannendes Experiment bleibt. Also: Wer hat Mut, Neugier und ein bisschen Zeit übrig? Vielleicht bringt das ja neue Ideen ins Projekt oder deckt alte Fehler auf. Und wer weiß – eventuell hilft ein schlauer Tipp von euch weiter,
Warum iptables in Freetz-ng nicht mehr läuft – und was stattdessen geht.
Hintergrund: iptables ist Geschichte
Aktuelle Freetz-ng-Builds basieren auf neueren Linux-Kernel-Versionen der AVM-Firmware (z. B. bei der FRITZ!Box 7590 mit Firmware ≥ 7.50/8.x). Seit Kernel ≥ 5.x gilt nftables offiziell als Nachfolger von iptables.Das klassische iptables-Userland-Tool ist in der Freetz-ng-Toolchain nicht mehr enthalten — AVM hat es entfernt, und Freetz-ng spart sich den Ballast aus Platzgründen ebenfalls.
Was das bedeutet
- iptables-Befehle existieren auf modernen Boxen meist gar nicht mehr
- → command not found ist die logische Folge
- Nur die moderne nftables-Infrastruktur ist noch vorhanden
Was man stattdessen tun kann
nftables statt iptables verwenden (empfohlen)- nftables ist auf aktuellen Boxen bereits im Kernel aktiv
- In Freetz-ng kannst du das nft-CLI-Tool ganz einfach mitbauen:
make menuconfig → Packages → Networking → nftables auswählen
Danach steht dir auf der Box /usr/sbin/nft zur Verfügung — und du bist wieder voll handlungsfähig in Sachen Firewall-Regeln
Beispiel (entspricht alten iptables-Regeln):
Code:
nft add table inet vpnfilter
nft add chain inet vpnfilter forward { type filter hook forward priority 0 \; policy drop \; }
# B darf auf alles in A
nft add rule inet vpnfilter forward ip saddr 192.168.2.0/24 ip daddr 192.168.1.0/24 accept
# C darf nur auf 192.168.1.100 und .101
nft add rule inet vpnfilter forward ip saddr 192.168.3.0/24 ip daddr 192.168.1.100 accept
nft add rule inet vpnfilter forward ip saddr 192.168.3.0/24 ip daddr 192.168.1.101 accept
# alles andere wird geblockt (Policy DROP greift)iptables zurückportieren (nicht empfehlenswert)
- Theoretisch könntest du in Freetz-ng iptables als Paket neu einbauen:
- Crosskompilieren der alten iptables-Userland-Tools
- Kernel-Module für xt_*-Match- und Target-Module mitkompilieren
- Aber: hoher Aufwand, Kernel-Patches nötig, extrem fehleranfällig, kann zu Brick führen.
Patch direkt in die Original-Firmware 
(praktisch unmöglich)
- AVM-Firmware ist signiert und nur über Freetz-ng modifizierbar.
- Direkte Kernel-Patches oder Initramfs-Ersetzungen würden die Signatur zerstören → Box bootet nicht.
PS: Ich lasse mir dabei von ChatGPT helfen – vielleicht ist das für euch auch eine nützliche Unterstützung.
Speziell für diesen Fall wurde eine passende Syntax hier für nun mal erstellt.
Zuletzt bearbeitet:
