Hi! Kann es sein, daß Iptables in der Version 1.2.2 clamp mss noch nicht unterstützt ? Ich bekomme immer folgende Fehlermeldung, wenn ich /usr/sbin/iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu aufrufe: iptables v1.1.2: Unknown arg `--clamp-mss-to-pmtu' Try `iptables -h' or 'iptables --help' for more information. Wo bekomme ich rpms von neueren Versionen von Iptables ? Gruß, vague --- Sonntag, 24. März 2002 12:57 mailto:linux@vague.de http://www.vague.de
Hallo, at Sun, 24 Mar 2002 12:59:00 +0100 Joerg Nehls wrote:
Wo bekomme ich rpms von neueren Versionen von Iptables ?
Du benötigtst nicht nur das rpm von iptables sondern auch den passenden Kernel dazu. Am besten backst Du Dir iptables und den Kernel selber. Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 22C51B8D0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
Sunday, March 24, 2002, 2:03:05 PM, Michael Raab wrote:
at Sun, 24 Mar 2002 12:59:00 +0100 Joerg Nehls wrote:
Wo bekomme ich rpms von neueren Versionen von Iptables ?
Du benötigtst nicht nur das rpm von iptables sondern auch den passenden Kernel dazu.
Am besten backst Du Dir iptables und den Kernel selber.
Leicht gesagt... ich habe auf dem PC einen selbstgebackenen Kernel am laufen... die Iptables Version ist 1.2.2 (genau die, die SUSE mit geliefert hat). Ist es denn richtig, daß die 1.2.2 das mss clamp nicht unterstützt? Welche Optionen im Kernel müssen aktiviert sein, damit dieses Modul mitgebacken wird ? Gruß, Jörg --- Sonntag, 24. März 2002 17:25 mailto:linux@vague.de http://www.vague.de
On Sunday, 24. March 2002 17:29, Joerg Nehls wrote:
Sunday, March 24, 2002, 2:03:05 PM, Michael Raab wrote:
at Sun, 24 Mar 2002 12:59:00 +0100 Joerg Nehls wrote:
Wo bekomme ich rpms von neueren Versionen von Iptables ?
Du benötigtst nicht nur das rpm von iptables sondern auch den passenden Kernel dazu.
Am besten backst Du Dir iptables und den Kernel selber.
Leicht gesagt... ich habe auf dem PC einen selbstgebackenen Kernel am laufen... die Iptables Version ist 1.2.2 (genau die, die SUSE mit geliefert hat). Ist es denn richtig, daß die 1.2.2 das mss clamp nicht unterstützt? Welche Optionen im Kernel müssen aktiviert sein, damit dieses Modul mitgebacken wird ?
Hi Ich weiß ich wiederhole mich---- wurde aber auch zweimal gepostet... :-) "TCPMSS target support" ist der genaue Name des moduls. In der Experimentierphase würde ich der Einfachheit halber alle Module da reincompilieren. Das verringert den Streß erstmal deutlich. Noch ein paar kleine Zeilen zur Erheiterung aus den "help-Seiten" zur Kernel-config: This option adds a `TCPMSS' target, which allows you to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgoing interface's MTU minus 40). This is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets. The symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets: Ciao Axel
Sunday, March 24, 2002, 8:53:45 PM, Axel Heinrici wrote:
Ich weiß ich wiederhole mich---- wurde aber auch zweimal gepostet... :-) "TCPMSS target support" ist der genaue Name des moduls. In der Experimentierphase würde ich der Einfachheit halber alle Module da reincompilieren. Das verringert den Streß erstmal deutlich. Noch ein paar kleine Zeilen zur Erheiterung aus den "help-Seiten" zur Kernel-config:
This option adds a `TCPMSS' target, which allows you to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgoing interface's MTU minus 40).
This is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets. The symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets:
Jetzt kommen wir der Sache schon etwas näher... jetzt weiss ich woran es liegt, kann jedoch besagtes Modul nicht finden. Wo in der Kernelconfig steht das ganze? Weder oder Network options noch unter Network Device Support konnte ich was finden. Ich verwende den 2.4.18er Kernel... Hat jemand den letzten richtigen Tip für mich? Gruß, Jörg --- Montag, 25. März 2002 06:09 mailto:linux@vague.de http://www.vague.de
Tach On Monday 25 March 2002 06:10, Joerg Nehls wrote:
Sunday, March 24, 2002, 8:53:45 PM, Axel Heinrici wrote:
Ich weiß ich wiederhole mich---- wurde aber auch zweimal gepostet... :-) "TCPMSS target support" ist der genaue Name des moduls. In der Experimentierphase würde ich der Einfachheit halber alle Module da reincompilieren. Das verringert den Streß erstmal deutlich. Noch ein paar kleine Zeilen zur Erheiterung aus den "help-Seiten" zur Kernel-config:
This option adds a `TCPMSS' target, which allows you to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgoing interface's MTU minus 40).
This is used to overcome criminally braindead ISPs or servers which block ICMP Fragmentation Needed packets. The symptoms of this problem are that everything works fine from your Linux firewall/router, but machines behind it can never exchange large packets:
Jetzt kommen wir der Sache schon etwas näher... jetzt weiss ich woran es liegt, kann jedoch besagtes Modul nicht finden. Wo in der Kernelconfig steht das ganze? Weder oder Network options noch unter Network Device Support konnte ich was finden. Ich verwende den 2.4.18er Kernel... Hat jemand den letzten richtigen Tip für mich?
hmmm. bin gerade bei der Arbeit. Aus dem Kopf würde ich sagen Network options -> Netfilter config
Monday, March 25, 2002, 11:50:55 AM, Axel Heinrici wrote:
Jetzt kommen wir der Sache schon etwas näher... jetzt weiss ich woran es liegt, kann jedoch besagtes Modul nicht finden. Wo in der Kernelconfig steht das ganze? Weder oder Network options noch unter Network Device Support konnte ich was finden. Ich verwende den 2.4.18er Kernel... Hat jemand den letzten richtigen Tip für mich?
hmmm. bin gerade bei der Arbeit. Aus dem Kopf würde ich sagen Network options ->> Netfilter config
Ich habe diese Option immer noch nicht gefunden (vielleicht bin ich ja auch blind???). Im Anhang befindet sich meine .config (für Kernel 2.4.18). Vielleicht kann jemand dort sehen, was ich falsch mache bzw. übersehe... Bin für jeden Tipp dankbar. Gruß, Jörg --- Montag, 25. März 2002 18:22 mailto:linux@vague.de http://www.vague.de
Hi On Monday, 25. March 2002 18:24, Joerg Nehls wrote:
Monday, March 25, 2002, 11:50:55 AM, Axel Heinrici wrote:
Jetzt kommen wir der Sache schon etwas näher... jetzt weiss ich woran es liegt, kann jedoch besagtes Modul nicht finden. Wo in der Kernelconfig steht das ganze? Weder oder Network options noch unter Network Device Support konnte ich was finden. Ich verwende den 2.4.18er Kernel... Hat jemand den letzten richtigen Tip für mich?
hmmm. bin gerade bei der Arbeit. Aus dem Kopf würde ich sagen
Network options ->> Netfilter config
Ich habe diese Option immer noch nicht gefunden (vielleicht bin ich ja auch blind???). Im Anhang befindet sich meine .config (für Kernel 2.4.18). Vielleicht kann jemand dort sehen, was ich falsch mache bzw. übersehe...
Hier kann man nix anhängen! War aber auch richtig, was ich gesagt hatte. Networking options ---> IP: Netfilter Configuration ---> TCPMSS target support ist der genaue Weg bei mir. Da muß dann natürlich auch "IP tables support" reincompiliert werde, aber ich denke, daß sich das von selbst versteht. Ich hab nen Kernel 2.4.17 von www.kernel.org. Wenn das da nicht steht kannste nochmal nen grep TCPMSS auf das .config-file loslassen. Da sollte "CONFIG_IP_NF_MATCH_TCPMSS=m CONFIG_IP_NF_TARGET_TCPMSS=m" bei rauskommen. Gruß Axel
Am Sonntag, 24. März 2002 12:59 schrieb Joerg Nehls:
Kann es sein, daß Iptables in der Version 1.2.2 clamp mss noch nicht unterstützt ? Ich bekomme immer folgende Fehlermeldung, wenn ich
Nö, die 1.2.2er beherrscht es, wenn der Kernel das entsprechende Modul ipt_TCPMSS vorweisen kann.
/usr/sbin/iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu aufrufe:
iptables v1.1.2: Unknown arg `--clamp-mss-to-pmtu' ^ Was denn jetzt, 1.2.2 oder 1.1.2?
Wo bekomme ich rpms von neueren Versionen von Iptables ?
Die 1.2.2er von SuSE 7.3 liegen, wie alle freien Pakete der 7.3er, auf dem SuSE-FTP-Server. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Sunday, March 24, 2002, 5:04:42 PM, Manfred Tremmel wrote:
Am Sonntag, 24. März 2002 12:59 schrieb Joerg Nehls:
Kann es sein, daß Iptables in der Version 1.2.2 clamp mss noch nicht unterstützt ? Ich bekomme immer folgende Fehlermeldung, wenn ich
Nö, die 1.2.2er beherrscht es, wenn der Kernel das entsprechende Modul ipt_TCPMSS vorweisen kann. Schön. Kann mir denn jetzt noch jemand sagen welche option ich beim Backen des Kernels aktivieren muss, damit eben genau jenes Modul mitgebaut wird???
/usr/sbin/iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu aufrufe:
iptables v1.1.2: Unknown arg `--clamp-mss-to-pmtu' ^ Was denn jetzt, 1.2.2 oder 1.1.2? Mein Fehler. Ich meinte die 1.1.2, so wie es in der Fehlermeldung steht.
Wo bekomme ich rpms von neueren Versionen von Iptables ?
Die 1.2.2er von SuSE 7.3 liegen, wie alle freien Pakete der 7.3er, auf dem SuSE-FTP-Server. Ich habe zwar die 7.1, aber das wird das gleiche sein...
Jörg --- Sonntag, 24. März 2002 20:07 mailto:linux@vague.de http://www.vague.de
Am Sonntag, 24. März 2002 20:08 schrieb Joerg Nehls: [...]
Schön. Kann mir denn jetzt noch jemand sagen welche option ich beim Backen des Kernels aktivieren muss, damit eben genau jenes Modul mitgebaut wird???
/usr/sbin/iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu aufrufe:
iptables v1.1.2: Unknown arg `--clamp-mss-to-pmtu'
^ Was denn jetzt, 1.2.2 oder 1.1.2? [...]
Hi! Das Problem ist weder ein Kernel- noch Iptables-gebundenes. Das fehlende Modul gehört zum pppd. Im Linux-Howto für ADSL ist das gut beschrieben. Leider hab ich die Url nicht griffbereit, aber ich glaube, SuSE hat das irgendwo in der Supportdatenbank stehen. Udo
Am Sonntag, 24. März 2002 20:42 schrieb Udo Neist: [...]
Das Problem ist weder ein Kernel- noch Iptables-gebundenes. Das fehlende Modul gehört zum pppd. Im Linux-Howto für ADSL ist das gut beschrieben. Leider hab ich die Url nicht griffbereit, aber ich glaube, SuSE hat das irgendwo in der Supportdatenbank stehen.
Noch ne Ergänzung :) Dies bezieht sich auf ältere Kernel der 2.4er Serie, die neueren haben das als Option im Iptables-Segment drin (siehe auch andere Mails) Udo
Am Sonntag, 24. März 2002 20:08 schrieb Joerg Nehls:
Sunday, March 24, 2002, 5:04:42 PM, Manfred Tremmel wrote:
Am Sonntag, 24. März 2002 12:59 schrieb Joerg Nehls:
Kann es sein, daß Iptables in der Version 1.2.2 clamp mss noch nicht unterstützt ? Ich bekomme immer folgende Fehlermeldung, wenn ich
Nö, die 1.2.2er beherrscht es, wenn der Kernel das entsprechende Modul ipt_TCPMSS vorweisen kann.
Schön. Kann mir denn jetzt noch jemand sagen welche option ich beim Backen des Kernels aktivieren muss, damit eben genau jenes Modul mitgebaut wird???
In der .config nennt es sich: CONFIG_IP_NF_MATCH_TCPMSS=m bei make menuconfig findest Du es unter Networking options ---> IP: Netfilter Configuration ---> <M> TCPMSS target support -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Monday, March 25, 2002, 9:42:20 PM, Manfred Tremmel wrote:
In der .config nennt es sich:
CONFIG_IP_NF_MATCH_TCPMSS=m
bei make menuconfig findest Du es unter
Networking options ---> IP: Netfilter Configuration ---> <M> TCPMSS target support
Gut, das ganze habe ich nun auch so hinbekommen. Das Modul ist vorhanden, soll heissen, es findet sich in /lib/modules/2.4.18/kernel/net/ipv4/netfilter/ipt_tcpmss.o wieder. Leider wird dieses Modul beim Booten bzw. beim Verbindungsaufbau anscheind nicht geladen, denn ich bekomme nachwie vor diese Fehlermeldung: Starting Firewall Initialization: (phase 3 of 3) iptables v1.1.2: Unknown arg `--clamp-mss-to-pmtu' Try `iptables -h' or 'iptables --help' for more information. done Hat jemand eine Idee, wie ich das modul so einbinden kann, daß genau diese Fehlermeldung nicht mehr kommt bzw. ich dann auch wieder alle Seiten im Inet ansurfen kann? Gruß, vague --- Dienstag, 26. März 2002 22:14 mailto:linux@vague.de http://www.vague.de
Am Dienstag, 26. März 2002 22:17 schrieb Joerg Nehls:
Gut, das ganze habe ich nun auch so hinbekommen. Das Modul ist vorhanden, soll heissen, es findet sich in /lib/modules/2.4.18/kernel/net/ipv4/netfilter/ipt_tcpmss.o wieder.
Leider wird dieses Modul beim Booten bzw. beim Verbindungsaufbau anscheind nicht geladen, denn ich bekomme nachwie vor diese Fehlermeldung:
Starting Firewall Initialization: (phase 3 of 3) iptables v1.1.2: Unknown arg `--clamp-mss-to-pmtu' Try `iptables -h' or 'iptables --help' for more information. done
Dann ist die iptables Version wohl doch zu alt. Zieh Dir doch mal die 1.2.2er Version von iptables, mit der und dem Modul sollte es dann aber wirklich gehen.
Hat jemand eine Idee, wie ich das modul so einbinden kann, daß genau diese Fehlermeldung nicht mehr kommt bzw. ich dann auch wieder alle Seiten im Inet ansurfen kann?
modprobe ipt_tcmpss sollte das Modul laden, aber das sollte iptables eigentlich selbst machen. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Wednesday, March 27, 2002, 8:56:46 PM, Manfred Tremmel wrote:
Dann ist die iptables Version wohl doch zu alt. Zieh Dir doch mal die 1.2.2er Version von iptables, mit der und dem Modul sollte es dann aber wirklich gehen. Kann ich mir irgendwie gar nicht vorstellen... wo bekomme ich denn rpm für iptables (suse7.1pro) her? Hat da jemand eine Addy?
modprobe ipt_tcmpss sollte das Modul laden, aber das sollte iptables eigentlich selbst machen.
Selbst ein Laden von Hand bringt nichts. Selbst wenn das Modul geladen ist, kann ich www.gmx.de z.b. nicht aufrufen. Hat jemand das Problem auch schon gehabt ? Gruß, Jörg --- Freitag, 29. März 2002 20:54 mailto:linux@vague.de http://www.vague.de
Am Freitag, 29. März 2002 20:57 schrieb Joerg Nehls:
Kann ich mir irgendwie gar nicht vorstellen... wo bekomme ich denn rpm für iptables (suse7.1pro) her? Hat da jemand eine Addy?
Nimm einfach das von der 7.3er. Das liegt auf dem SuSE-FTP-Server, hab ich auch so gemacht, läuft hier unter 7.1 ohne Probleme. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Friday, March 29, 2002, 10:51:30 PM, Manfred Tremmel wrote:
Am Freitag, 29. März 2002 20:57 schrieb Joerg Nehls:
Kann ich mir irgendwie gar nicht vorstellen... wo bekomme ich denn rpm für iptables (suse7.1pro) her? Hat da jemand eine Addy?
Nimm einfach das von der 7.3er. Das liegt auf dem SuSE-FTP-Server, hab ich auch so gemacht, läuft hier unter 7.1 ohne Probleme.
Wie hast du das gemacht? Via Yast per ftp-install geht leider nicht... wo befindet sich die Datei auf dem ftp? Jörg --- Samstag, 30. März 2002 17:51 mailto:vague@gmx.ch http://www.vague.de
Am Samstag, 30. März 2002 17:51 schrieb Joerg Nehls:
Friday, March 29, 2002, 10:51:30 PM, Manfred Tremmel wrote:
Nimm einfach das von der 7.3er. Das liegt auf dem SuSE-FTP-Server, hab ich auch so gemacht, läuft hier unter 7.1 ohne Probleme.
Wie hast du das gemacht? Via Yast per ftp-install geht leider nicht... wo befindet sich die Datei auf dem ftp?
Ich habs jetzt nicht genau im Kopf, aber schau mal unter ftp://sunsite.informatik.rwth-aachen.de/pub/Linux/suse/i386/7.3/ (einer der von mir verwendeten Mirrors). Dann mit rpm -Uvh oder yast installieren, wie jedes andere rpm Paket auch. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Saturday, March 30, 2002, 11:23:51 PM, Manfred Tremmel wrote:
Ich habs jetzt nicht genau im Kopf, aber schau mal unter
ftp://sunsite.informatik.rwth-aachen.de/pub/Linux/suse/i386/7.3/
Die genaue Addresse: ftp://sunsite.informatik.rwth-aachen.de/pub/Linux/suse/i386/7.3/suse/sec1/iptables.rpm
(einer der von mir verwendeten Mirrors). Dann mit rpm -Uvh oder yast installieren, wie jedes andere rpm Paket auch.
Das Installieren hat nun wunderbar geklappt und somit ist nun endlich auch mein Problem behoben! Danke an alle, die mir bei dieser Hürde geholfen haben! Osterlicher Gruß, Jörg --- Sonntag, 31. März 2002 12:27 mailto:vague@gmx.ch http://www.vague.de
Hallo,
Selbst ein Laden von Hand bringt nichts. Selbst wenn das Modul geladen ist, kann ich www.gmx.de z.b. nicht aufrufen. Hat jemand das Problem auch schon gehabt ? Ja hatte ich schon nach deinstall von Iptables & Ipchains & SuSEfirewall und neuinstallation von SuSEfirewall2 und den dazugehörenden tables funktionierte es wieder ! Gruß Günther
participants (7)
-
Axel Heinrici -
Günther J. Niederwimmer -
Joerg Nehls -
Joerg Nehls -
Manfred Tremmel -
Michael Raab -
udo.neist@t-online.de