Главная » Форум » Gentoo Linux » Системное администрирование

[РЕШЕНО] Не создаются правила iptables с ipset 6.6

operatiocwal 16 июня, 2011 - 13:33

Доброго времени суток!

Есть проблема связки iptables и ipset. При добавлении правил в iptables, использующего ipset выдаётся следующее информативное сообщение iptables: No chain/target/match by that name.
Конкретно. Создаю список в ipset

# ipset -N tst hash:ip
# ipset -A tst 192.168.10.10
# ipset -L tst
Name: tst
Type: hash:ip
Header: family inet hashsize 1024 maxelem 65536 
Size in memory: 16496
References: 0
Members:
192.168.10.10

Пытаюсь добавить правило в iptables. 

# iptables -A INPUT -m set --match-set tst src -j LOG --log-prefix "IPSET rule"
iptables: No chain/target/match by that name.

Или просто ACCEPT

# iptables -A INPUT -m set --match-set tst src -j ACCEPT
iptables: No chain/target/match by that name.

# iptables --version
iptables v1.4.10

#ipset --version
ipset v6.4, protocol version: 6

Интересует ipset шестой ветки. Пробовал 6.4, 6.6 результат одинаков

Прошу пояснить, где я ошибся.

‹ [Samba] Подскажите по samb'е, не могу разрулить трех пользователей. [Решено] LVM на разделе kpartx не инициализируется ›
»

нет модуля ядра для

Автор slepnoga, дата создания 16 июня, 2011 - 13:45.

нет модуля ядра для ипсет.
Вопросы : версия, конфиг ядра ? откуда ипсет ? кернел патчил согласно указаний ебилда ? модуль грузил ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

lsmod | grep

Автор operatiocwal, дата создания 16 июня, 2011 - 14:54.
lsmod | grep ip
ip_set_hash_ip         14328  1 
ip_set_hash_net        17032  1 
ip_set                 16452  2 ip_set_hash_ip,ip_set_hash_net
nfnetlink               1912  1 ip_set
ipt_addrtype            1448  0 
xt_iprange              1304  0 
xt_multiport            1288  0 
ipv6                  193208  44 
iptable_nat             2728  0 
nf_nat                 11148  1 iptable_nat
ipt_REJECT              1800  1 
ipt_LOG                 6016  4 
nf_conntrack_ipv4       7728  8 iptable_nat,nf_nat
nf_defrag_ipv4           920  1 nf_conntrack_ipv4
nf_conntrack           41640  6 xt_conntrack,xt_connmark,iptable_nat,nf_nat,nf_conntrack_ipv4,xt_state
iptable_filter           920  1 
iptable_mangle          1000  0 
ip_tables              12664  3 iptable_nat,iptable_filter,iptable_mangle
x_tables               11360  21 ipt_addrtype,xt_NFQUEUE,xt_string,xt_hashlimit,xt_iprange,xt_dscp,xt_conntrack,xt_owner,xt_mark,xt_multiport,xt_connmark,xt_DSCP,iptable_nat,ipt_REJECT,xt_tcpudp,ipt_LOG,xt_limit,xt_state,iptable_filter,iptable_mangle,ip_tables

Версия ядра 2.6.38-gentoo-r6 x86_64, собрано genkernel. Конфиг ->

zegrep '_NF_|NETFILTER' /proc/config.gz | grep -v '^#'
CONFIG_NETFILTER=y
CONFIG_NETFILTER_ADVANCED=y
CONFIG_BRIDGE_NETFILTER=y
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m
CONFIG_NF_CONNTRACK=m
CONFIG_NF_CONNTRACK_MARK=y
CONFIG_NF_CONNTRACK_SECMARK=y
CONFIG_NF_CONNTRACK_EVENTS=y
CONFIG_NF_CT_PROTO_GRE=m
CONFIG_NF_CT_PROTO_SCTP=m
CONFIG_NF_CT_PROTO_UDPLITE=m
CONFIG_NF_CONNTRACK_AMANDA=m
CONFIG_NF_CONNTRACK_FTP=m
CONFIG_NF_CONNTRACK_H323=m
CONFIG_NF_CONNTRACK_IRC=m
CONFIG_NF_CONNTRACK_NETBIOS_NS=m
CONFIG_NF_CONNTRACK_PPTP=m
CONFIG_NF_CONNTRACK_SANE=m
CONFIG_NF_CONNTRACK_SIP=m
CONFIG_NF_CONNTRACK_TFTP=m
CONFIG_NF_CT_NETLINK=m
CONFIG_NETFILTER_XTABLES=m
CONFIG_NETFILTER_XT_MARK=m
CONFIG_NETFILTER_XT_CONNMARK=m
CONFIG_NETFILTER_XT_TARGET_CHECKSUM=m
CONFIG_NETFILTER_XT_TARGET_CLASSIFY=m
CONFIG_NETFILTER_XT_TARGET_CONNMARK=m
CONFIG_NETFILTER_XT_TARGET_CONNSECMARK=m
CONFIG_NETFILTER_XT_TARGET_CT=m
CONFIG_NETFILTER_XT_TARGET_DSCP=m
CONFIG_NETFILTER_XT_TARGET_HL=m
CONFIG_NETFILTER_XT_TARGET_IDLETIMER=m
CONFIG_NETFILTER_XT_TARGET_LED=m
CONFIG_NETFILTER_XT_TARGET_MARK=m
CONFIG_NETFILTER_XT_TARGET_NFLOG=m
CONFIG_NETFILTER_XT_TARGET_NFQUEUE=m
CONFIG_NETFILTER_XT_TARGET_NOTRACK=m
CONFIG_NETFILTER_XT_TARGET_RATEEST=m
CONFIG_NETFILTER_XT_TARGET_TEE=m
CONFIG_NETFILTER_XT_TARGET_TRACE=m
CONFIG_NETFILTER_XT_TARGET_SECMARK=m
CONFIG_NETFILTER_XT_TARGET_TCPMSS=m
CONFIG_NETFILTER_XT_MATCH_CLUSTER=m
CONFIG_NETFILTER_XT_MATCH_COMMENT=m
CONFIG_NETFILTER_XT_MATCH_CONNBYTES=m
CONFIG_NETFILTER_XT_MATCH_CONNLIMIT=m
CONFIG_NETFILTER_XT_MATCH_CONNMARK=m
CONFIG_NETFILTER_XT_MATCH_CONNTRACK=m
CONFIG_NETFILTER_XT_MATCH_CPU=m
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DSCP=m
CONFIG_NETFILTER_XT_MATCH_ESP=m
CONFIG_NETFILTER_XT_MATCH_HASHLIMIT=m
CONFIG_NETFILTER_XT_MATCH_HELPER=m
CONFIG_NETFILTER_XT_MATCH_HL=m
CONFIG_NETFILTER_XT_MATCH_IPRANGE=m
CONFIG_NETFILTER_XT_MATCH_IPVS=m
CONFIG_NETFILTER_XT_MATCH_LENGTH=m
CONFIG_NETFILTER_XT_MATCH_LIMIT=m
CONFIG_NETFILTER_XT_MATCH_MAC=m
CONFIG_NETFILTER_XT_MATCH_MARK=m
CONFIG_NETFILTER_XT_MATCH_MULTIPORT=m
CONFIG_NETFILTER_XT_MATCH_OSF=m
CONFIG_NETFILTER_XT_MATCH_OWNER=m
CONFIG_NETFILTER_XT_MATCH_POLICY=m
CONFIG_NETFILTER_XT_MATCH_PHYSDEV=m
CONFIG_NETFILTER_XT_MATCH_PKTTYPE=m
CONFIG_NETFILTER_XT_MATCH_QUOTA=m
CONFIG_NETFILTER_XT_MATCH_RATEEST=m
CONFIG_NETFILTER_XT_MATCH_REALM=m
CONFIG_NETFILTER_XT_MATCH_RECENT=m
CONFIG_NETFILTER_XT_MATCH_SCTP=m
CONFIG_NETFILTER_XT_MATCH_STATE=m
CONFIG_NETFILTER_XT_MATCH_STATISTIC=m
CONFIG_NETFILTER_XT_MATCH_STRING=m
CONFIG_NETFILTER_XT_MATCH_TCPMSS=m
CONFIG_NETFILTER_XT_MATCH_TIME=m
CONFIG_NETFILTER_XT_MATCH_U32=m
CONFIG_NF_DEFRAG_IPV4=m
CONFIG_NF_CONNTRACK_IPV4=m
CONFIG_NF_CONNTRACK_PROC_COMPAT=y
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_ADDRTYPE=m
CONFIG_IP_NF_MATCH_AH=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_NF_NAT=m
CONFIG_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_NETMAP=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_NF_NAT_SNMP_BASIC=m
CONFIG_NF_NAT_PROTO_GRE=m
CONFIG_NF_NAT_PROTO_UDPLITE=m
CONFIG_NF_NAT_PROTO_SCTP=m
CONFIG_NF_NAT_FTP=m
CONFIG_NF_NAT_IRC=m
CONFIG_NF_NAT_TFTP=m
CONFIG_NF_NAT_AMANDA=m
CONFIG_NF_NAT_PPTP=m
CONFIG_NF_NAT_H323=m
CONFIG_NF_NAT_SIP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_CLUSTERIP=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_TTL=m
CONFIG_IP_NF_RAW=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
CONFIG_NF_DEFRAG_IPV6=m
CONFIG_NF_CONNTRACK_IPV6=m
CONFIG_IP6_NF_QUEUE=m
CONFIG_IP6_NF_IPTABLES=m
CONFIG_IP6_NF_MATCH_AH=m
CONFIG_IP6_NF_MATCH_EUI64=m
CONFIG_IP6_NF_MATCH_FRAG=m
CONFIG_IP6_NF_MATCH_OPTS=m
CONFIG_IP6_NF_MATCH_HL=m
CONFIG_IP6_NF_MATCH_IPV6HEADER=m
CONFIG_IP6_NF_MATCH_MH=m
CONFIG_IP6_NF_MATCH_RT=m
CONFIG_IP6_NF_TARGET_HL=m
CONFIG_IP6_NF_TARGET_LOG=m
CONFIG_IP6_NF_FILTER=m
CONFIG_IP6_NF_TARGET_REJECT=m
CONFIG_IP6_NF_MANGLE=m
CONFIG_IP6_NF_RAW=m
CONFIG_BRIDGE_NF_EBTABLES=m

ipset собирал из портежа 

emerge -av "=net-firewall/ipset-6.4"

Ядро патчил по инструкции ебилда. После патча пересобирал.
Вручную модуль не грузил. Судя по lsmod он загружается автоматом.
Кстати, если попытаться создать правило с заведомо отсутствующим списком ipset получается:

iptables -A INPUT  -m set --match-set t src -j ACCEPT
iptables v1.4.10: Set t doesn't exist.

Правильно ли я понял, что ipset не находит набор t о чём и сообщает. Т.е. модуль загружен и отвечает об отсутствие набора.

Забыл упомянуть

cat /proc/net/ip_tables_matches
limit
state
string
conntrack
conntrack
owner
mark
connmark
udplite
udp
tcp
addrtype
addrtype
hashlimit
iprange
tos
dscp
multiport
icmp

ipset в списке нет. Должен быть?

»

Исправлено в ipset-6.7-r1.

Автор pva, дата создания 16 июня, 2011 - 16:32.

Исправлено в ipset-6.7-r1.

»

И вот так бывает :) когда

Автор slepnoga, дата создания 16 июня, 2011 - 16:37.

И вот так бывает :) когда мантайнеры читают форум

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

К сожалению, нет.

Автор operatiocwal, дата создания 16 июня, 2011 - 17:28.
pva написал(а):
Исправлено в ipset-6.7-r1.

К сожалению не помогло. 

# ipset 
ipset v6.7: No command specified.
Try `ipset help' for more information.

Однако 

# iptables -A INPUT -m set --match-set tst src -j ACCEPT
iptables: No chain/target/match by that name.


# ipset -L
Name: tst
Type: hash:ip
Header: family inet hashsize 1024 maxelem 65536 
Size in memory: 16496
References: 0
Members:
192.168.10.10

Ядро пересобрал. Может ли проблема быть с наложением патча на ядро? Как его проконтролировать?

»

A вы вдвоем с pva без меня

Автор slepnoga, дата создания 16 июня, 2011 - 17:40.

eix -I ipset ?

A вы вдвоем с pva без меня никак не сконтактируете ? :)

П.С чуствую себя каким то передатчиком

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

модуль xt_set загружен? И да,

Автор pva, дата создания 16 июня, 2011 - 17:51.

модуль xt_set загружен?

И да, лучше написать мне в jabber или на bugs.gentoo.org (не забыв меня добавить в CC).

»

Всё заработалло.

Автор operatiocwal, дата создания 17 июня, 2011 - 08:51.

Спасибо. Всё заработало. Я ошибся. Установил версию 6.7 вместо 6.7-r1. На r1 - заработало.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".