iproute2+iptables

[Costinio]

Επαναφέρω το θέμα που σβήστηκε μετά τις τελευταίες εξελίξεις στο φορουμ...

Λοιπόν, έχω κάνει πλέον compile τον πυρήνα με nth match support υπάρχει και το libipt_nth.so οπότε πάω να περάσω τις εντολές του apoikou που βρίσκονται σε αυτό το post.

>[root@server ~]# iptables -t mangle -N marking
[root@server ~]# iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
[root@server ~]# iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark
[root@server ~]# iptables -t mangle -A PREROUTING -m mark --mark 0x0 -j marking
[root@server ~]# iptables -t mangle -A OUTPUT -m mark --mark 0x0 -j marking
[root@server ~]# iptables -t mangle -A marking -m mark --mark 0x0 -m nth --every 2 --packet 0 -j MARK --set-mark 0x1
[b]iptables: Invalid argument[/b]

Τις 6 πρώτες εντολές τις παίρνει κανονικά αλλά μάλλον κάτι δεν πάει καλά με τις παραμέτρους στην τελευταία.

Πάντως με lsmod βλέπω ότι τα ip_tables και ipt_nth modules είναι φορτωμένα.

Επειδή δεν έχω ιδέα από iptables (ούτε και το κουράγιο να κάτσω να ξεψαχνίσω όλο το manual αυτή τη στιγμή) μπορεί να βοηθήσει κάποιος αν βλέπει κάτι λάθος? (apoikos βασικά σε σένα αναφέρομαι :-P )

 

Ορίστε και η έξοδος του iptables -L -t mangle

>[root@server ~]# iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
CONNMARK   0    --  anywhere             anywhere            CONNMARK restore
marking    0    --  anywhere             anywhere            MARK match 0x0

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
CONNMARK   0    --  anywhere             anywhere            CONNMARK restore
marking    0    --  anywhere             anywhere            MARK match 0x0

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain marking (2 references)
target     prot opt source               destination

[nske]

Υπάρχει loaded το σχετικό module;

# modprobe ipt_nth

# lsmod

 

Αν δεν υπάρχει θα πρέπει να το κάνεις compile με βάση τα sources του kernel που χρησιμοποιείς, νομίζω υπάρχει στο patch-o-matic.

[Costinio]

Ναι είναι φορτωμένο το ipt_nth όπως μου δείχνει το lsmod! Φορτώνεται αυτόματα όταν δίνω την τελευταία εντολή.

[apoikos]

Για δώσε ένα iptables -m nth -h

[Costinio]

να και το αποτέλεσμα της iptables -m nth -h

iptables nth.txt

[apoikos]

Και μια `iptables -j MARK -h'.

[Costinio]

να το και αυτό. είμαι περίεργος να δω τα αποτελέσματα της νεκροψιας

iptables mark.txt

[apoikos]

modprobe -v xt_MARK && lsmod | grep MARK ?

Ξέρω, γίνεται κουραστικό :-P

[Costinio]

χαχαχα σαν εξεταση σε γιατρο ειναι looool

αν έχεις msn και σε βολεύει κάνε με add

 

[root@server ~]# modprobe -v xt_MARK && lsmod | grep MARK

FATAL: Module xt_MARK not found.

 

Πιθανότατα τη συγκεκριμενη επιλογή στον πυρήνα την έχω compiled in και όχι module.

Τις περισσότερες στην κατηγορία networking τις έχω έτσι αλλά μάλλον φαίνεται ότι πρέπει κάποιες να μπουν ως modules αλλιώς δεν μου παίζουν κανονικά!

πχ το module ip_tables όταν το είχα compiled in μου έβγαζε κάτι άκυρα η iptables.

Το συγκεκριμένο module που λες αν κατάλαβα καλά είναι το "MARK" target support μέσα στο Core netfilter configuration.

Τα βάζω όλα modules εκεί μέσα όπως ήταν αρχικά και πάμε για το 7348723ο kernel compile

[firewalker]

χαχαχα σαν εξεταση σε γιατρο ειναι looool

αν έχεις msn και σε βολεύει κάνε με add

 

Να μην ξεχάσετε να τα μοιραστήτε και μαζί μας ( Αν και η εξέταση από γιατρό παραπέμπει σε ποιο "τρυφερές" στιγμές :) ). Να μαθαίνουμε και εμείς, και μπορεί να τα χρειαστούμε.

[Costinio]

ματάκια firewalker θα υπάρξει απόλυτη διαφάνεια καθώς και ολοκληρωμένο how-to όταν λάβει το αίσιο τέλος αυτή η ιστορία με τις 2 adsl

Εμένα η εξέταση από οδοντίατρο ποτέ δε μου φάνηκε τρυφερή στιγμή

Αλλά τα "σιδεράκια" στον πυρήνα είναι αναγκαίο κακό και πρέπει να μπουν :-P

[Costinio]

Πάμε στον επόμενο γύρο....

Μετά από kernel recompile έχουμε πάλι τα ίδια

>[root@server ~]# iptables -t mangle -N marking
[root@server ~]# iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
[root@server ~]# iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark
[root@server ~]# iptables -t mangle -A PREROUTING -m mark --mark 0x0 -j marking
[root@server ~]# iptables -t mangle -A OUTPUT -m mark --mark 0x0 -j marking
[root@server ~]# iptables -t mangle -A marking -m mark --mark 0x0 -m nth --every 2 --packet 0 -j MARK --set-mark 0x1
iptables: Invalid argument

>[root@server ~]# modprobe -v xt_MARK && lsmod | grep MARK
xt_MARK                 2560  0
xt_CONNMARK             3072  2
ip_conntrack           53688  1 xt_CONNMARK
x_tables               15748  5 ipt_nth,xt_MARK,xt_mark,xt_CONNMARK,ip_tables

[apoikos]

Βγάλε τελείως ό,τι έχει σχέση με το nth από την εντολή και δοκίμασε αν θα το πάρει. Δηλαδή να γίνει:

>
iptables -t mangle -A marking -m mark --mark 0x0 -j MARK --set-mark 0x1

[Costinio]

τώρα οκ χωρίς το nth δούλεψε

τα iptables πάντως είναι patchαρισμένα και το /usr/lib/iptables/libipt_nth.so υπάρχει στο σκληρό...