iptables 1.4.1 - Cadê os módulos? [RESOLVIDO]

tempestis
(usa Debian)

Enviado em 01/09/2009 - 11:01h

Pessoal, tudo bem?

Bem, eu compilei o kernel 2.6.28 para debian com o layer7 e compilei o iptables 1.4.1.

Só que, não estou conseguindo carregar os módulos, ou não sei quais módulos carregar...

Quando tento inserir uma regra na tabela INPUT:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

, retorna o seguinte erro:

can't load conntrack support for proto=2
iptables: Invalid argument

Aparentemente, parece que eu estou errando a regra, mas estou usando o mesmo script que eu usava antes. A construção de comandos para o iptables 1.4.1 mudou?


Ou seja, eu to achando é que os módulos não estão carregados. Segue a saída do lsmod

Module Size Used by
xt_state 2112 0
iptable_filter 2752 0
ip_tables 10736 1 iptable_filter
xt_conntrack 3488 0
xt_layer7 9352 0
x_tables 13540 4 xt_state,ip_tables,xt_conntrack,xt_layer7
ipv6 208084 12


Tive que levantar os módulos manualmente
Vi em algum lugar que eu poderia levantar o nf_conntrack_ipv4.
Mas, não encontrei esse módulo.

Mudaram os nomes dos módulos e os comandos pro iptables?

Obrigado

tempestis
(usa Debian)

Enviado em 02/09/2009 - 13:48h

Ninguém?


Alguém ae usa Iptables 1.4.1?

cleysinhonv
(usa Ubuntu)

Enviado em 02/09/2009 - 13:53h

Olá tempestis,

Talves seja necessário que você levante os módulos com modprobe.

tempestis
(usa Debian)

Enviado em 02/09/2009 - 15:05h

Obrigado pelo reply.

Já levantei os módulos ip_tables, iptable_filter, xt_layer7 e xt_conntrack
Só que, falta o módulo de nat, masquerade...todos os outros módulos, não sei os nomes deles...

Outra coisa, pela mensagem de erro, parece que, ou o conntrack não está dando suporte para ipv4, ou o comando está errado. Ou talvez seja as duas coisas, sei lá.

Mas a questão é, as funções básicas do iptables, eu não consigo fazer

cleysinhonv
(usa Ubuntu)

Enviado em 02/09/2009 - 15:29h

Vamos por parte!

1°) habilitar o modulo ipv4

# echo 1 > /proc/sys/net/ipv4/ipforward

2°) o nome de cada modulo

# modprobe ip_conntrack
# modprobe ip_conntrack
# modprobe ip_nat_ftp
# modprobe ip_queue
# modprobe ip_tables
# modprobe ipt_log
# modprobe ipt_MARK
# modprobe ipt_MASQUERADE
# modprobe ipt_MIRROR
# modprobe ipt_REDICT
# modprobe ipt_REJECT
# modprobe ipt_TCPMSS
# modprobe ipt_TOS
# modprobe ipt_limit
# modprobe ipt_mac
# modprobe ipt_multport
# modprobe ipt_owner
# modprobe ipt_state
# modprobe iptables_nat
# modprobe iptables_mangle
# modprobe iptables_filter

Enfim, tem mais alguns mas não há necessidade de colocar aqui, levanta esse módulos ai.

So para ver se está tudo ok, como você compilou o iptables talves seja necessários levanta-los.

tempestis
(usa Debian)

Enviado em 04/09/2009 - 12:13h

Obrigado pelo reply, e desculpa pela demora

echo 1 > /proc/sys/net/ipv4/ipforward já é feito.

ip_conntrack, não encontrado
ip_nat_ftp, não encontrado
ip_tables, OK
ipt_MASQUERADE, não encontrado
iptables_nat, não encontrado
iptables_mangle, não encontrado
iptables_filter, não encontrado.

Os outros módulos eu não procurei, porque, sem esses que são os de mais necessidade, os outros não terão serventia.

Todos esses módulos eu procurei pelo nome completo com o find. Eles aparecem no kernel 2.6.18, mas não aparecem no 2.6.28, que é o que eu compilei com suporte à layer7...

Conforme o primeiro post, alguns modulos parecem ter mudado de nome, como o ip_conntrack, que agora é xt_conntrack. A questão é que esse módulo não dá suporte ao ipv4. Googleando por aí, encontrei o nome nf_conntrack_ipv4. Ele consta no source do kernel, mas parece que não foi compilado, mesmo eu tendo habilitado como módulo no menuconfig...

tempestis
(usa Debian)

Enviado em 09/09/2009 - 09:23h

Gente, desculpa por demorar pra fechar

Eu recompilei um kernel mais antigo mesmo, o 2.6.18-5, e tá rodando legal. Infelizmente não consegui fazer rodar no 2.6.28, como eu queria...