iptables
Здравствуйте уважаемые пользователи , хочу сразу сказать , что я только начинающий пользователь Linux , помогите пожалуйста с iptables ... Никак не получается его поставить , при попытке получиться список цепочек iptables –L выдаёт ошибку :
iptables v1.3.5: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Я так понимаю что необходимо включить iptables в ядре и пересобрал ядро , я это сделал:
# cd /usr/src/linux
# make menuconfig
затем тут ВЕЗДЕ проставил М
Device Drivers--->
Networking Support--->
Networking Options---->
Network Packet Filtering (replace Ipchains)--->
Netfilter Configuration
Далее я откомпилировал ядро :
make && make modules_install
затем включил новое ядро в загрузчик
make install
Делаю ребут ….
Далее поставил iptables
Emerge iptables
Включил iptables
1. /etc/init.d/iptables start
2. /etc/init.d/iptables stop
3. /etc/init.d/iptables start
Набираю iptables –L выводит :
iptables –L выдаёт ошибку :
iptables v1.3.5: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Скажите пожалуйста , что я делаю не так ?
З.Ы. Linux Gentoo ядро 2.6
- Для комментирования войдите или зарегистрируйтесь
внутрь этого
внутрь этого дела - Network Packet Filtering (replace Ipchains) заходил?
т.е. это когда
т.е. это когда когда этот пункт у тебя будет включен, жми на нем ентер, а дальше выбирай самое необходимое для работы iptables, а так же по своим нуждам, NAT там и etc.
Да , внутри всё
Да , внутри всё включил .... Вообще все ...
Похоже что не все модули собраны
Он на это и ругается, и сделай плз. в студию
cat /etc/conf.d/iptables
cat /var/lib/iptables/rules-save
cat /etc/conf.d/iptables #
cat /etc/conf.d/iptables
# Location in which iptables initscript will save set rules on
# service shutdown
IPTABLES_SAVE="/var/lib/iptables/rules-save"
# Options to pass to iptables-save and iptables-restore
SAVE_RESTORE_OPTIONS="-c"
# Save state on stopping iptables
SAVE_ON_STOP="yes"
на это : cat /var/lib/iptables/rules-save ничего не ответил , просто выполнил ..
lsmod pokazite
lsmod pokazite
lsmod показывает
lsmod показывает пустоту ....
т.е. получается я не загрузил модули? А каким образом это сделать?
что в сислоге?
что пишется в /var/log/messages ? если логер неустановлен то надо установить и посмотреть что туда пишется
и хотелось бы увидеть кусок конфига ядра из
/usr/src/linux/.config
секцию
# IP: Netfilter Configuration
BTW try xconfig
BTW try xconfig
Re: BTW try xconfig
К сожелению ничего не понимаю ... Не могли бы вы объяснить поподробнее пожалуйста ..
что в сислоге?
что пишется в /var/log/messages
Если логер неустановлен то надо установить и посмотреть что туда пишется
и хотелось бы увидеть кусок конфига ядра из
/usr/src/linux/.config
секцию
# IP: Netfilter Configuration
/usr/src/linux/.config
секцию
# IP: Netfilter Configuration
#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=m
CONFIG_IP_NF_CT_ACCT=y
CONFIG_IP_NF_CONNTRACK_MARK=y
CONFIG_IP_NF_CONNTRACK_EVENTS=y
CONFIG_IP_NF_CONNTRACK_NETLINK=m
CONFIG_IP_NF_CT_PROTO_SCTP=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_IRC=m
CONFIG_IP_NF_NETBIOS_NS=m
CONFIG_IP_NF_TFTP=m
CONFIG_IP_NF_AMANDA=m
CONFIG_IP_NF_PPTP=m
CONFIG_IP_NF_H323=m
CONFIG_IP_NF_SIP=m
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_IPRANGE=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_AH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_ADDRTYPE=m
CONFIG_IP_NF_MATCH_HASHLIMIT=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_TARGET_NETMAP=m
CONFIG_IP_NF_TARGET_SAME=m
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_NAT_TFTP=m
CONFIG_IP_NF_NAT_AMANDA=m
CONFIG_IP_NF_NAT_PPTP=m
CONFIG_IP_NF_NAT_H323=m
CONFIG_IP_NF_NAT_SIP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_TTL=m
CONFIG_IP_NF_TARGET_CLUSTERIP=m
CONFIG_IP_NF_RAW=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
В логах ОЧЕНЬ много записей, все выложить просто не получится , может нужны какие то конкретные?
А в каталоге
А в каталоге /lib/modules/2.6.*-gentoo-r*/kernel/net/ipv4/netfilter скомпилированные модули вообще есть? Если есть, то попробуй modprobe ip_tables, что ответит? И вообще странно, что lsmod не выдает ничего. неужели все ядро монолит?
Все что в этой
Все что в этой папке :
nfnetlink.ko
xt_CLASSIFY.ko
xt_NFQUEUE.ko
xt_connmark.ko
xt_esp.ko
xt_mac.ko
xt_policy.ko
xt_state.ko
xt_tcpudp.ko
nfnetlink_log.ko
xt_CONNMARK.ko
xt_NOTRACK.ko
xt_conntrack.ko
xt_helper.ko
xt_mark.ko
xt_quota.ko
xt_statistic.ko
nfnetlink_queue.ko
xt_DSCP.ko
xt_comment.ko
xt_dccp.ko
xt_length.ko
xt_multiport.ko
xt_realm.ko
xt_string.ko
x_tables.ko
xt_MARK.ko
xt_connbytes.ko
xt_dscp.ko
xt_limit.ko
xt_pkttype.ko
xt_sctp.ko
xt_tcpmss.ko
На команду :
modprobe ip_tables
не выдёт ничего , просто исполняет ...
Re: Все что в этой
значит модуль подгрузился, если бы это было не так то:
собственно после этого оно работать должно, но ему могут понадобится модули ещё. у меня всё тупо в ядре...
Помогите
Помогите пожалуйста , уже 6 день мучаюсь ...
покажи: cat
покажи:
cat /boot/grub/grub.conf
ls -l /boot/
uname -r
ls /lib/modules/
cat
cat /boot/grub/grub.conf
cat: /boot/grub/grub.conf: No such file or directory
Вообще странно , он у меня то есть , то нет ...
ls -l /boot/
-rw-r--r-- 1 root root 2661835 Mar 23 18:18 KERNEL-2.6-FW
lrwxrwxrwx 1 root root 27 Mar 27 20:53 System.map -> System.map-2.6.19-gentoo-r5
-rw-r--r-- 1 root root 934341 Mar 27 20:53 System.map-2.6.19-gentoo-r5
-rw-r--r-- 1 root root 934341 Mar 23 16:31 System.map-2.6.19-gentoo-r5.old
lrwxrwxrwx 1 root root 31 Mar 27 20:53 System.map.old -> System.map-2.6.19-gentoo-r5.old
lrwxrwxrwx 1 root root 23 Mar 27 20:53 config -> config-2.6.19-gentoo-r5
-rw-r--r-- 1 root root 36167 Mar 27 20:53 config-2.6.19-gentoo-r5
-rw-r--r-- 1 root root 36222 Mar 23 16:31 config-2.6.19-gentoo-r5.old
lrwxrwxrwx 1 root root 27 Mar 27 20:53 config.old -> config-2.6.19-gentoo-r5.old
-rw-r--r-- 1 root root 2626258 Mar 26 16:50 kernel_fw
lrwxrwxrwx 1 root root 24 Mar 27 20:53 vmlinuz -> vmlinuz-2.6.19-gentoo-r5
-rw-r--r-- 1 root root 2622514 Mar 27 20:53 vmlinuz-2.6.19-gentoo-r5
-rw-r--r-- 1 root root 2622615 Mar 23 16:31 vmlinuz-2.6.19-gentoo-r5.old
lrwxrwxrwx 1 root root 28 Mar 27 20:53 vmlinuz.old -> vmlinuz-2.6.19-gentoo-r5.old
(насобирал ядер :( )
uname -r
2.6.19-gentoo-r5
( Хммм... видимо у меня глючит GRUB ....
ls /lib/modules/
2.6.19-gentoo-r5
Вообще модули
Вообще модули должны подгружаться автоматом при запуске iptables, похоже ты все таки накосячил в настройке ядра. По поводу grub, то смотря как ты прописал fstab, boot-раздел может не монтироваться после загрузки. Поэтому после загрузки если в boot ничего нет, то mount /boot. Но это к iptables не имеет отношения. Если хочешь, могу конфиг серверного ядра своего выслать, подправишь чипсет и попробуешь.
если вас не
если вас не затруднит , скиньте пожалуйста на weblt[пёсик]mail.ru
скажите пожалуйста я правильно прописал конфиг для lilo:
boot=/dev/sda
prompt
timeout=50
default=gentoo
image=/boot/kernel-FW (в /boot/ этот файл есть)
label=gentoo
read-only
root=/dev/sda3
fdisk -l :
Device Boot Start End Blocks Id System
/dev/sda1 * 1 5 40131 83 Linux
/dev/sda2 6 255 2008125 82 Linux swap / Solaris
/dev/sda3 256 9729 76099905 83 Linux
1 Я не вижу у вас
1 Я не вижу у вас в /boot файла kernel-FW
2 Почему kernel-FW? Новое ядро после make install у вас называется vmlinuz (ссылка на vmlinuz-2.6.19-gentoo-r5). И по дате создания видно, что это самый новый файл.
соответственно
image=/boot/vmlinuz
3 При пересборке ядра не плохо бы менять его локальную версию в General -> Local version. Иначе модули каждый раз ставяться в один и тот-же каталог.
А вот мой
А вот мой /boot
Бардак конечно, но я пробовал и руками собирать и после этой ошибки уже и через genkernel прересобрал
System.map-genkernel-x86-2.6.19-gentoo-r5
boot
etc
grub
initramfs-genkernel-x86-2.6.19-gentoo-r5
kernel-2.6
kernel-2.6-old
kernel-genkernel-x86-2.6.19-gentoo-r5
lost+found
А это мой
А это мой grub.conf
default 0
timeout 5
title=Gentoo Linux 2.6.19-r5
root (hd0,0)
kernel /boot/kernel-genkernel-x86-2.6.19-gentoo-r5 root=/dev/ram0 init=/linuxrc ramdisk=8192 real_root=/dev/hda3 udev
initrd /boot/initramfs-genkernel-x86-2.6.19-gentoo-r5
Сделал так ,
Сделал так , выдал ошибку :
WARNING: Your system is probably unbootable now. After correcting any
problems, rerun this script with the command `mkboot -installkernel'.
make[1]: *** [install] Error 1
make: *** [install] Error 2
Та же
Та же проблема...
Тютелька в тютельку.
Можно и мне ядро на
Наконец то
Наконец то запустил :)
Всем огромное спасибо за помощь .....!!!
Решение как всегда простое :(
Необходимо просто прописать модули связанные с фаерволом в автозагрузку :)
nano -w /etc/modules.autoload.d/kernel-2.6 (или 2.4 в зависимости от ядра)
Ещё раз всем спасибо ...
/
наверно просто поставить в ядре птичку "автоматически загружать модули"
[РЕШЕНО] в тему
[РЕШЕНО] в тему добавь, если несложно.
благодарю.
Re: Наконец то
таже проблема, толкьо непойми что где прописывать?
Может кто-то
Может кто-то поделиться ссылкой на докумтацию по настройке iptables
в гугле хорошого мануала не нашел.
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
а поновее ниче
а поновее ниче нету?
и вообще, взять хотябы политику по умолчанию. там она пишется в начале скрипта. а теоритически было определено, что все правила должны идти в возрастающем порядке : т.е. если сначала поставить политику в дроп, то дальнейшие открытия портов до сраки, надо сначало открывать все, а потом ставить политику дроп.
а в мануале, вашем, все наоборот (это что касается его примеров, а ими, думаю, большинство и пользуется, ибо так легче понять суть, на примерах)...
А разьве что-то
А разьве что-то принципиально изменилось?
Что значит открывать всё, а потом ставить политику дроп? Политика по умолчанию принимается, если пакет не попал ни под одно из существующих правил. Если он попадает в разрешающее правило - то проходит.
Хотя я лично тоже предпочитаю не устанавливать политику на INPUT в DROP, а дописать после всех разрешающих правил что-то типа iptables -A INPUT -j DROP. На это есть несколько причин.
объясняю. в
объясняю. в примерах этого дока ставится _сначала_ iptables -P INPUT DROP. Потом делается операции вроде iptables -A INPUT --dport 22 -j ACCEPT. на практике это работать не будет.
хотя я уже догнал в чем прикол: чувак создает еще цепочки просто...раньше не обратил на это внимание...
короче, запутано там все расписано, как по мне...
ладно, проехали...
Почему на
Почему на практике не будет работать?
Можно обяснить.
да, чето я туплю
да, чето я туплю наверна...
работает...
вроде тестил, не работало раньше...
сорри (
Re: А разьве что-то
Можно хотя бы перечислить?
Ну вот пример
Ну вот пример из жизни - нужно через ssh сбросить все правила в таблице filter и прописать новые:
# iptables -F
# iptables -A INPUT ....
а затем предпологалось просто сделать /etc/init.d/iptables save
И если имеем установленную по дефолту политику DROP, про которую как всегда забываем, то после первой команды скажем до свидания серверу.
Не пинайте
Не пинайте сильно если ошибусь, недавно только познакомился с iptables. Но на сколько я понял, если не ставить политику по умолчанию в DROP то теоретически при большом количестве правил, эти сами правила будут грузиться не мгновенно. Пройдет какое-то время на их загрузку. В это время система может быть уязвима для исполнения каки-нибудь пакостей. С другой стороны "досвиданье сервер" приходиться говорить регулярно :-( Это действительно актуально для меня.