[Fli4l_dev] hwsupp: LED-Trigger für Traffic

[Christoph Schulz]

Hallo!

Mark Gerber schrieb:

> Hi!
> 
> Auf meinem "Standard-PC" habe ich das Opt hwsupp einfach nur deswegen mit
> drauf, damit die Tastatur-LEDs den Router-Status anzeigen (aktuell "ready"
> und den Heartbeat-Trigger). Nun bin ich neugierig, ob es möglich ist, den
> eingehenden und den ausgehenden Traffic jeweils mit einer LED anzuzeigen.
> Das müsste doch irgendwie über die Trigger zu realisieren sein. Gibt es da
> eventuell bereits was Vorkonfiguriertes?

Noch nicht. Siehe https://ssl.nettworks.org/bugs/browse/FFL-1006.

> Ansonsten habe ich bereits die folgende Information zum Erstellen von
> neuen Triggern gefunden:
> http://ipset.netfilter.org/iptables-extensions.man.html#lbCZ (Link springt
> zum Abschnitt LED)
> 
> Wenn ich das richtig verstehe, kann ich mit dem iptables-Befehl einen
> neuen Trigger anlegen, à la:
> iptables -A ???? -j LED --led-trigger-id TrafIn --led-delay 5
> In diesem (unvollständigen) Beispiel würde der neue Trigger dann
> "netfilter-TrafIn" heißen.
> 
> Fragen:
> 1. Sind meine Annahmen soweit korrekt?

Ja, du musst den Trigger allerdings noch an der LED registrieren, siehe 
Kommentar im oben verlinkten Ticket.

> 2. Da ich mich mit iptables überhaupt nicht auskenne, sondern nur aus dem
> Recherchierten bisher zusammen stückele:
> Was müsste bei dem iptables-Befehl noch mit rein (wohl bei den
> Fragezeichen)? (Wahrscheinlich zumindest die Schnittstelle und die Art des
> Verkehrs.)

So ist es. Natürlich fehlt auch die korrekte Kette (INPUT, OUTPUT, FORWARD 
etc.).

> 3. Wo würde ich den iptables-Befehl reinsetzen, damit die Definition ab
> fli4l-Systemstart gültig ist und ich mit hwsupp auf den Trigger zugreifen
> kann?

Die Firewall wird in rc360 initialisiert. Die meisten Teile von hwsupp 
sollten bereits ab rc001 verfügbar sein.

Bitte beachte aber, dass die ganze Geschichte _nur_ mit IPv4- bzw. IPv6-
Datenverkehr funktioniert, weil iptables/ip6tables nun einmal auf IP-Ebene 
funktioniert. Gebridgte Pakete siehst du dabei genausowenig¹ wie andere 
Layer-2-Protokolle, etwa PPP, weil beides nicht über die iptables-Filter 
laufen. Wenn du also bspw. stundenlang versuchst, deine PPP(oE)-Verbindung 
zu deinem Provider aufzubauen und dies immer scheitert, schickst du zwar 
dauernd PPP-Pakete hin und her, die LED würde aber dunkel bleiben, weil die 
IP-Aushandlung einfach nicht erfolgreich ist und somit auf _IP-Ebene_ nichts 
passiert.

¹ Das kann man mit Hilfe von bridge-nf-call-iptables zwar aktivieren, das 
ist aber nicht ohne und sollte nur getan werden, wenn man Ahnung von der 
Materie hat ;-) Für Details siehe [1].

[1] http://ebtables.netfilter.org/misc/brnf-faq.html


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]