Hallo Liste! Ich hatte bis vor kurzem bei mir ein SuSE 7.0 laufen, der als maskierender Router alle Klienten in's Netz befördert hat. Damals habe ich den ganz einfachen (und nicht sehr sicheren) Befehl ipchains -A forward -s 0/0 -d 0/0 -j MASQ benutzt. Inzwischen benutze ich SuSE 7.1 mit dem 2.4er Standard-Kernel und da ist ja alles anders ;) mit dem Befehl iptables -A forward -s 0/0 -d 0/0 -j MASQUERADE klappte es leider nicht. Die Fehlermeldung die mir angegeben wird lautet:
iptables v1.1.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgrade
Sollte das nicht eigentlich auch mit dem Standard-Kernel laufen? Oder gibt es ein Modul, welches ich übersehen habe? Gruß Felix -- Sent through GMX FreeMail - http://www.gmx.net
On 17 Feb 2001, at 17:35, Felix Esser wrote:
Hallo Liste!
Ich hatte bis vor kurzem bei mir ein SuSE 7.0 laufen, der als maskierender Router alle Klienten in's Netz befördert hat. Damals habe ich den ganz einfachen (und nicht sehr sicheren) Befehl ipchains -A forward -s 0/0 -d 0/0 -j MASQ benutzt.
Inzwischen benutze ich SuSE 7.1 mit dem 2.4er Standard-Kernel und da ist ja alles anders ;) mit dem Befehl iptables -A forward -s 0/0 -d 0/0 -j MASQUERADE klappte es leider nicht. Die Fehlermeldung die mir angegeben wird lautet:
iptables v1.1.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgrade
Sollte das nicht eigentlich auch mit dem Standard-Kernel laufen? Oder gibt es ein Modul, welches ich übersehen habe?
Hallo Felix, iptables ist ein bißchen komplexer als ipchains. iptables -L -v Chain INPUT (policy ACCEPT 77691 packets, 19492558 bytes) Chain FORWARD (policy ACCEPT 1496 packets, 186235 bytes) Chain OUTPUT (policy ACCEPT 74740 packets, 15817116 bytes) iptables -L -v -t nat Chain PREROUTING (policy ACCEPT 1015 packets, 60084 bytes) Chain POSTROUTING (policy ACCEPT 39 packets, 4725 bytes) Chain OUTPUT (policy ACCEPT 109 packets, 10948 bytes) Ich denke mal Du willst MASQUERADING einrichten. Bei mir hab ich es folgendermaßen gemacht: /usr/local/bin/iptables -F /usr/local/bin/iptables -t nat -F /usr/local/bin/iptables -t nat -A POSTROUTING -o ippp1 -j MASQUERADE /usr/local/bin/iptables -P INPUT ACCEPT /usr/local/bin/iptables -P OUTPUT ACCEPT /usr/local/bin/iptables -P FORWARD ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward Dann ist allerdings alles offen. Anpassen mußt Du das halt dann selber noch. Es kann sein, daß Module fehlen bzw. bestimmte Dinge nicht in Deinem Kernel mit drin sind. Das ist glaub ich die Sektion Netfilter. Solltest Du auf jeden Fall im Hinterkopf behalten. hth Alex
Hallo Felix, On Sat, Feb 17, 2001 at 05:35:21PM +0100, Felix Esser wrote:
Hallo Liste!
Ich hatte bis vor kurzem bei mir ein SuSE 7.0 laufen, der als maskierender Router alle Klienten in's Netz befördert hat. Damals habe ich den ganz einfachen (und nicht sehr sicheren) Befehl ipchains -A forward -s 0/0 -d 0/0 -j MASQ benutzt.
Inzwischen benutze ich SuSE 7.1 mit dem 2.4er Standard-Kernel und da ist ja alles anders ;) mit dem Befehl iptables -A forward -s 0/0 -d 0/0 -j MASQUERADE klappte es
Die Syntax ist schonmal falsch: iptables -t nat -A POSTROUTING -o $OUTIF -s $MASQNET -j MASQUERADE $OUTIF ist bei mir ippp0 und $MASQNET 192.168.0.0/24
leider nicht. Die Fehlermeldung die mir angegeben wird lautet:
iptables v1.1.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgrade
Sollte das nicht eigentlich auch mit dem Standard-Kernel laufen? Oder gibt es ein Modul, welches ich übersehen habe?
weiß nicht. -- MfG Waldemar Brodkorb Linux rulez !
Hallo nochmal! Ersteinmal möchte ich mich für Eure schnellen Antworten bedanken! Allerdings ist das Problem, welches ich habe Elementarer als ich dachte! Selbst wenn ich nur den Befehl 'iptables -L -v' ausführe kommt schon diese Fehlermeldung:
iptables v1.1.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded.
Habt Ihr denn den SuSE 2.4 Standard-Kernel installiert, oder habt Ihr ihn neu aufgesetzt? Ich habe am Kernel noch nichts verändert, kann es daran liegen? Gruß Felix -- Sent through GMX FreeMail - http://www.gmx.net
On 17 Feb 2001, at 18:52, Felix Esser wrote:
Hallo nochmal!
Ersteinmal möchte ich mich für Eure schnellen Antworten bedanken!
Allerdings ist das Problem, welches ich habe Elementarer als ich dachte!
Selbst wenn ich nur den Befehl 'iptables -L -v' ausführe kommt schon diese Fehlermeldung:
iptables v1.1.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded.
Habt Ihr denn den SuSE 2.4 Standard-Kernel installiert, oder habt Ihr ihn neu aufgesetzt?
Ich nehm nicht den SuSE Kernel her, aber ich tipp mal, daß iptables da nicht mit drin ist. Also bitte neu kompilieren. Networking options ---> [*] Network packet filtering (replaces ipchains) IP: Netfilter Configuration ---> <*> Connection tracking (required for masq/NAT) x x x x <*> FTP protocol support x x x x <*> IP tables support (required for filtering/masq/NAT) x x x x <*> limit match support x x x x <*> MAC address match support x x x x <*> netfilter MARK match support x x x x <*> Multiple port match support x x x x <*> TOS match support x x x x <*> Connection state match support x x x x <*> Packet filtering x x x x <*> REJECT target support x x x x <*> Full NAT x x x x <*> MASQUERADE target support x x x x <*> REDIRECT target support x x x x <*> Packet mangling x x x x <*> TOS target support x x x x <*> MARK target support x x x x <*> LOG target support
Ich habe am Kernel noch nichts verändert, kann es daran liegen?
Jau
Gruß Felix
Du mußt ja nicht alles reinkompilieren, aber gehen tuts dann. hth Alex
On Sat, 17 Feb 2001, Felix Esser wrote:
Hallo nochmal!
Ersteinmal möchte ich mich für Eure schnellen Antworten bedanken!
Allerdings ist das Problem, welches ich habe Elementarer als ich dachte!
Selbst wenn ich nur den Befehl 'iptables -L -v' ausführe kommt schon diese Fehlermeldung:
iptables v1.1.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded.
Hast du iptables fest in den Kernel eingebaut oder als Modul übersetzt? Im letzteren Fall mußt du das Modul per Hand laden. Gruß Lars
hallo, On Sat, Feb 17, 2001 at 05:35:21PM +0100, Felix Esser wrote:
Ich hatte bis vor kurzem bei mir ein SuSE 7.0 laufen, der als maskierender Router alle Klienten in's Netz befördert hat. Damals habe ich den ganz einfachen (und nicht sehr sicheren) Befehl ipchains -A forward -s 0/0 -d 0/0 -j MASQ benutzt.
Inzwischen benutze ich SuSE 7.1 mit dem 2.4er Standard-Kernel und da ist ja alles anders ;) mit dem Befehl iptables -A forward -s 0/0 -d 0/0 -j MASQUERADE klappte es leider nicht. Die Fehlermeldung die mir angegeben wird lautet:
iptables v1.1.2: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgrade
eventuell ist dein ipchains-modul noch geladen. schau mal mit "lsmod | grep ipchains". entlad das ding mal, wenn du dann was mit iptables machst, laedt er sich was er braucht (voraussetzung dafuer ist allerdings, dass du alles als modul compiliert hast. schau mal in /usr/src/linux/.config, da sollte es irgendwo so ausschauen: CONFIG_IP_NF_CONNTRACK=m CONFIG_IP_NF_FTP=m CONFIG_IP_NF_QUEUE=m CONFIG_IP_NF_IPTABLES=m CONFIG_IP_NF_MATCH_LIMIT=m CONFIG_IP_NF_MATCH_MAC=m CONFIG_IP_NF_MATCH_MARK=m CONFIG_IP_NF_MATCH_MULTIPORT=m CONFIG_IP_NF_MATCH_TOS=m CONFIG_IP_NF_MATCH_STATE=m CONFIG_IP_NF_MATCH_UNCLEAN=m CONFIG_IP_NF_MATCH_OWNER=m CONFIG_IP_NF_FILTER=m CONFIG_IP_NF_TARGET_REJECT=m CONFIG_IP_NF_TARGET_MIRROR=m CONFIG_IP_NF_NAT=m CONFIG_IP_NF_NAT_NEEDED=y CONFIG_IP_NF_TARGET_MASQUERADE=m CONFIG_IP_NF_TARGET_REDIRECT=m CONFIG_IP_NF_NAT_FTP=m CONFIG_IP_NF_MANGLE=m CONFIG_IP_NF_TARGET_TOS=m CONFIG_IP_NF_TARGET_MARK=m CONFIG_IP_NF_TARGET_LOG=m CONFIG_IP_NF_COMPAT_IPCHAINS=m CONFIG_IP_NF_NAT_NEEDED=y du kannst NICHT ipchains und iptables gleichzeitig als modul geladen haben, und mit beiden arbeiten. entweder oder. nur musst du halt die module wieder entladen. vielleicht liegts ja daran, ansonsten: http://netfilter.kernelnotes.org/unreliable-guides/packet-filtering-HOWTO/in... http://netfilter.kernelnotes.org/unreliable-guides/NAT-HOWTO/index.html da steht alles, was du noch so wissen willst. viel glueck guenther
Am Samstag, 17. Februar 2001 17:35 schrieb Felix Esser:
leider nicht. Die Fehlermeldung die mir angegeben wird lautet:
iptables v1.1.2: can't initialize iptables table `filter': iptables who?
Der Kernel kann nicht mit iptables, schon mal probiert einfach weiter mit ipchains zu arbeiten? Der 2.4er Kernel kann ipchains kompatibel compiliert werden und dürfte bei SuSE wohl auch so ausgeliefert worden sein. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
Hallo, falls es jemanden interessiert, ich hab mein Firewallscript auf iptables umgestellt, für alle Interessenten gibts das Ding unter http://www.iiv.de/schwinde/buerger/tremmel/mtfirewall.bz2 zum download. Es sollte auch mit 2.2er Kernel und ipchains laufen (Abfrage der Kernelversion), hab ich aber noch nicht getestet. Anregungen und Verbesserungsvorschläge sind jederzeit willkommen. PS: Im Gegensatz zu ipchains läst sich mit iptables der 65535er Port auch wunderbar ansteuern, damit hab ichs endlich geschaft nfs durch die Firewall zu schleusen, ohne alle udp Ports aufmachen zu müssen. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
participants (6)
-
Alex Klein
-
Felix Esser
-
guenther deschner
-
Lars Mucha
-
Manfred Tremmel
-
Waldemar Brodkorb