Owner-match in Kernel 2.6.16.60 ?
Hallo ML, ich versuche z.Zt. Pakete von bestimmten Usern mittels iptables zu blocken (in der OUTPUT-chain). Die Regeln werden anstandslos gefressen. Aber es funktioniert nicht. Im Internet habe ich zwei Seiten gefunden, die sagen, Owner-matching mittels -m owner seit seit 2.6.14 aus dem Kernel entfernt, ein anderer schreibt aber, es würde bei ihm mit 2.6.18 laufen. Ein lsmod zeigt bei mir u.a.: Module Size Used by ipt_owner 18688 4 Das läßt ja irgendwie daruafhin deuten, daß zumindest das Kernelmodul noch geladen wird. Weiss jemand definitiv, ob und wann das Modul aus dem Kernel entfernt wurde. Gibt es eine Möglichkeit, wie ich bei meinem Kernel prüfen kann, ob owneer matching unterstützt wird ? Vielen Dank. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de 089 3187 1241 http://www.helmholtz-muenchen.de/idg Success is the sum of small efforts, repeated day in and day out. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo ML,
ich versuche z.Zt. Pakete von bestimmten Usern mittels iptables zu blocken (in der OUTPUT-chain). Die Regeln werden anstandslos gefressen. Aber es funktioniert nicht. Im Internet habe ich zwei Seiten gefunden, die sagen, Owner-matching mittels -m owner seit seit 2.6.14 aus dem Kernel entfernt, ein anderer schreibt aber, es würde bei ihm mit 2.6.18 laufen. Ein lsmod zeigt bei mir u.a.: Module Size Used by ipt_owner 18688 4
Das läßt ja irgendwie daruafhin deuten, daß zumindest das Kernelmodul noch geladen wird. Weiss jemand definitiv, ob und wann das Modul aus dem Kernel entfernt wurde. Gibt es eine Möglichkeit, wie ich bei meinem Kernel prüfen kann, ob owneer matching unterstützt wird ?
Hallo, habe es mittlerweile selbst herausgefunden: Aus mir unerfindlichen Gründen funktioniert das owner-matching von iptables nur auf Maschinen mit einer CPU, nicht auf Maschinen mit mehreren CPU's. Siehe auch: http://marc.info/?l=netfilter-devel&m=109666349630697&w=2 Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo ML,
ich versuche z.Zt. Pakete von bestimmten Usern mittels iptables zu blocken (in der OUTPUT-chain). Die Regeln werden anstandslos gefressen. Aber es funktioniert nicht. Im Internet habe ich zwei
Seiten gefunden,
die sagen, Owner-matching mittels -m owner seit seit 2.6.14 aus dem Kernel entfernt, ein anderer schreibt aber, es würde bei ihm mit 2.6.18 laufen. Ein lsmod zeigt bei mir u.a.: Module Size Used by ipt_owner 18688 4
Das läßt ja irgendwie daruafhin deuten, daß zumindest das Kernelmodul noch geladen wird. Weiss jemand definitiv, ob und wann das Modul aus dem Kernel entfernt wurde. Gibt es eine Möglichkeit, wie ich bei meinem Kernel prüfen kann, ob owneer matching unterstützt wird ?
Hallo,
habe es mittlerweile selbst herausgefunden: Aus mir unerfindlichen Gründen funktioniert das owner-matching von iptables nur auf Maschinen mit einer CPU, nicht auf Maschinen mit mehreren CPU's. Siehe auch: http://marc.info/?l=netfilter-devel&m=109666349630697&w=2
Hallo, habe jetzt definitiv rausgekriegt, was wo und wie funktioniert bzw. nicht funktioniert. Ich habe das owner-matching immer mit mail probiert. Da aber postfix dann die Verbindung zum Mailserver aufgebaut hat, ich in der Regel aber meine eigene User-ID geprüft habe, konnte die Regel nie greifen. Probiere ich die Regeln z.B. mit telnet, läuft's wie gewünscht. Owner-matching funktionert auch bei Maschinen mit mehreren CPU's. Andere matchings funktionieren aber wohl nicht auf SMP-Maschinen. Zitat: "AFAIK, only the --pid-owner, --sid-owner and --cmd-owner options are broken on SMP and were removed in kernel 2.6.14. The 'owner' match, --uid-owner and gid-owner options are still present and work." Wer mehr wissen will: http://marc.info/?l=netfilter&m=126744146117619&w=2 Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (1)
-
Lentes, Bernd