kernel update --> problem iptables connlimit
Hallo, hab diese Frage gestern schon in der kernel-Liste gefragt Da findet aber offenbar 0 Mailverkehr statt. Ich habe mir diesen kernel selbst gebaut (bigsmp) http://www.linux-magazin.de/dfn_cert_advisories/suse_schwachstellen_im_opens... Dabei habe ich aber nur kompiliert und die Vorgaben nicht geändert. Kernel läuft soweit aber ich habe nun leider ein Problem mit iptables und den Anweisungen die die Verbindungen auf einen port beschränken. z.B. iptables -N MY_TESTCHAIN iptables -A MY_TESTCHAIN -p tcp --dport 25 -m connlimit --connlimit-above 500 -j DROP die 2. Zeile bringt dann: iptables: No chain/target/match by that name Die Chain wurde durch die 1. Zeile angelegt abe roffenbar hapert es an dem connlimit-modul. Iptables unterstützt dies, das hat mit dem vorherigen kernel funktioniert. Offenbar unterstützt der jetzige kernel aber nicht das benötigte Modul per default. Mir fehlt aber momentan das Wissen welches Modul benötigt wird und wo ich das herbekomme. Da hängts grad... ;) Hat jemand ein paar Tipps für mich? Danke, Andre -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* Freitag, 20. März 2009 um 12:07 (+0100) schrieb Andre Hübner:
Ich habe mir diesen kernel selbst gebaut (bigsmp) http://www.linux-magazin.de/dfn_cert_advisories/suse_schwachstellen_im_opens... Dabei habe ich aber nur kompiliert und die Vorgaben nicht geändert.
Ich sehe in der o.g. URL keine Kernelsourcen... Hast du nach dem Kopieren der ".config" auch ein 'make oldconfig' ausgeführt?
Kernel läuft soweit aber ich habe nun leider ein Problem mit iptables und den Anweisungen die die Verbindungen auf einen port beschränken.
z.B. iptables -N MY_TESTCHAIN iptables -A MY_TESTCHAIN -p tcp --dport 25 -m connlimit --connlimit-above 500 -j DROP
die 2. Zeile bringt dann: iptables: No chain/target/match by that name
Die Chain wurde durch die 1. Zeile angelegt abe roffenbar hapert es an dem connlimit-modul. Iptables unterstützt dies, das hat mit dem vorherigen kernel funktioniert. Offenbar unterstützt der jetzige kernel aber nicht das benötigte Modul per default. Mir fehlt aber momentan das Wissen welches Modul benötigt wird und wo ich das herbekomme.
Wenn in der Kernel-Konfiguration alle (Nicht-EXPERIMENTAL-)netfilter-Optionen als Module ausgewählt sind, dann reicht das. Ich vermute aber eher, dass deine iptables-Version zu alt ist. Im Build-Service gibt es was Frischeres... Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo,
Wenn in der Kernel-Konfiguration alle (Nicht-EXPERIMENTAL-)netfilter-Optionen als Module ausgewählt sind, dann reicht das.
Ich vermute aber eher, dass deine iptables-Version zu alt ist. Im Build-Service gibt es was Frischeres...
iptables ist version 1.4.0 neuer ist nur noch 1.4.1 die ich auch auch probiert hab. meine 1.4.0er lief ja vorher mit dem alten kernel auch und dort hat das limitieren der bandbreite beklappt. ich steh da leider immer noch auf dem schlauch... die ausgabe von lsmod sieht so aus: Module Size Used by edd 25668 0 ipv6 332548 23 xt_hashlimit 26508 4 ip6_tables 30404 1 xt_hashlimit ipt_REJECT 20992 3 xt_tcpudp 19584 52 nf_conntrack_ipv4 27528 6 xt_state 18944 6 nf_conntrack 75400 2 nf_conntrack_ipv4,xt_state nfnetlink 22424 2 nf_conntrack_ipv4,nf_conntrack iptable_filter 19456 1 ip_tables 29252 1 iptable_filter x_tables 30980 6 xt_hashlimit,ip6_tables,ipt_REJECT,xt_tcpudp,xt_state,ip_tables battery 27268 0 ac 22148 0 loop 34308 0 dm_mod 69440 0 i2c_viapro 25108 0 button 25232 0 rtc_cmos 24608 0 rtc_core 35720 1 rtc_cmos rtc_lib 19456 1 rtc_core amd64_agp 28804 1 i2c_core 40192 1 i2c_viapro uhci_hcd 39568 0 agpgart 48584 1 amd64_agp ehci_hcd 48268 0 via_rhine 40712 0 mii 21760 1 via_rhine shpchp 47764 0 pci_hotplug 45888 1 shpchp usbcore 138244 3 uhci_hcd,ehci_hcd k8temp 22016 0 hwmon 19844 1 k8temp sg 49708 0 xfs 520280 3 pata_via 28292 0 fan 21764 0 thermal 33672 0 processor 55528 1 thermal via82cxxx 25220 0 [permanent] sata_via 28164 4 libata 152176 2 pata_via,sata_via sd_mod 43904 5 scsi_mod 153868 3 sg,libata,sd_mod ide_disk 33280 0 ide_core 135876 2 via82cxxx,ide_disk hab schon bissel rumprobiert, aber es will nach wie vor nicht. google suche brachte das einige leute damit probleme hatten, offenbar wird dies nicht per default im kernel unterstützt. einen workaround für suse 10.x fand ich aber leider nicht. gibts da noch ideen zu? Danke Andre -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* Montag, 23. März 2009 um 20:48 (+0100) schrieb Andre Hübner:
Ich vermute aber eher, dass deine iptables-Version zu alt ist. Im Build-Service gibt es was Frischeres...
iptables ist version 1.4.0 neuer ist nur noch 1.4.1 die ich auch auch probiert hab. meine 1.4.0er lief ja vorher mit dem alten kernel auch und dort hat das limitieren der bandbreite beklappt. ich steh da leider immer noch auf dem schlauch... die ausgabe von lsmod sieht so aus: [ ... ]
Ja, das connlimit-Modul fehlt. Was passiert, wenn du es "manuell" lädst ('modprobe xt_connlimit')?
hab schon bissel rumprobiert, aber es will nach wie vor nicht. google suche brachte das einige leute damit probleme hatten, offenbar wird dies nicht per default im kernel unterstützt. einen workaround für suse 10.x fand ich aber leider nicht.
Was soll "default im Kernel unterstützt" heissen? Wenn du das Kernelmodul (und seine abhängigen Module) bauen lässt, dann funktioniert es, wenn du es nicht bauen lässt, dann nicht... Welchen Kernel hast du gebaut? Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
ich nehme den kernel hier: http://www.linux-magazin.de/dfn_cert_advisories/suse_schwachstellen_im_opens... (bigsmp) das ist der 2.6.22 und der scheint das xt_connlimit noch nicht zu haben. ich find es bei diesem nicht in den sourcen obwohl es ja offenbar der aktuelle suse 10.3 kernel ist. bei höheren kernelversionen finden man die quellen. ich hab nun versucht die quellen und dateien nach vorbild eines höheren kernels in den jetzigen zu übernehmen aber gebaut wird das modul bisher nicht. ich pack dasbei das src.rpm aus und passe die dateien entsprechend an aber es ist mir ein rätsel warum es nicht gebaut wird da andere module ebenso eingetragen sind und ich keinen unterschied finde. der buildservoce hat auch höhre kernel aber die sind nicht von opensuse selber sondern offenbar von usern, da wollte ich erstmal abstand halten außerdem ziehen sich dann gleich wieder abhängigkeiten durch denen ich nachgehen müsste. ich kompiliere ja unter suse 10.1 und da wird es schon manchmal knapp... Danke, Andre ----- Original Message ----- From: "Andreas Koenecke" <akoenecke@akoenecke.de> To: <opensuse-de@opensuse.org> Sent: Monday, March 23, 2009 11:17 PM Subject: Re: kernel update --> problem iptables connlimit * Montag, 23. März 2009 um 20:48 (+0100) schrieb Andre Hübner:
Ich vermute aber eher, dass deine iptables-Version zu alt ist. Im Build-Service gibt es was Frischeres...
iptables ist version 1.4.0 neuer ist nur noch 1.4.1 die ich auch auch probiert hab. meine 1.4.0er lief ja vorher mit dem alten kernel auch und dort hat das limitieren der bandbreite beklappt. ich steh da leider immer noch auf dem schlauch... die ausgabe von lsmod sieht so aus: [ ... ]
Ja, das connlimit-Modul fehlt. Was passiert, wenn du es "manuell" lädst ('modprobe xt_connlimit')?
hab schon bissel rumprobiert, aber es will nach wie vor nicht. google suche brachte das einige leute damit probleme hatten, offenbar wird dies nicht per default im kernel unterstützt. einen workaround für suse 10.x fand ich aber leider nicht.
Was soll "default im Kernel unterstützt" heissen? Wenn du das Kernelmodul (und seine abhängigen Module) bauen lässt, dann funktioniert es, wenn du es nicht bauen lässt, dann nicht... Welchen Kernel hast du gebaut? Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* Mittwoch, 25. März 2009 um 15:13 (+0100) schrieb Andre Hübner: TOFU, Kleinschreibung und keine Kommasetzung! Ändere das bitte, wenn du in Zukunft Rat suchst.
ich nehme den kernel hier: http://www.linux-magazin.de/dfn_cert_advisories/suse_schwachstellen_im_opens... (bigsmp) das ist der 2.6.22 und der scheint das xt_connlimit noch nicht zu haben.
Ja, im 2.6.22 gab es wohl noch kein "connlimit". (Oder es hieß anders, keine Ahnung, das ist zu lange her...) Bei welchem Kernel ging es bei dir denn "früher"? Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Bei welchem Kernel ging es bei dir denn "früher"? vorher hatte ich einen 2.6.24, der war aber komplett selbstgebaut und hatte paar macken bin aber von dem 2.6.22er weg und hab nun nen 2.6.25-pae gebaut, musste zwar nochmal udev, mkinitrd und libcap anheben läuft aber ganz gut auch wenn es ein bisschen ein frankenstein geworden ist die optionalen module füge ich dann mit modprobe ein dann geht alles. muss blos noch mal nachsehen wir man die optionalen module am besten permanent laden lässt beim start, das hab ich momentan noch nicht...
Danke, Andre -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Andre Hübner
-
Andreas Koenecke