Iptables fejl

at din kernel mangler et eller andet modul til denne funktion.

Se resten af scriptet der hvor du har linien fra.. der står sikkert en modprobe istarten af scriptet.

jeg skal bruge iptables version 1.2.5 men findes denn ikke i en rpm pakke da jeg ikke kan finde ud af at installere tar.gz

hvilken dists?

http://www.rpmfind.net/linux/rpm2html/search.php?query=iptables&submit=Search+...

har fundet en selv men får en fejl når jeg køre scriptet.. opsumere igen imorgen

iptables -t mangle -A OUTPUT -m length --length 0:500 -j MARK --set-mark 3

Hva er det som denne skal gjøre ?? Hvilken funksjon skal ivaretas / er den tiltenkt ?

Hva bety nå egentlig dette ? Forsøker den å loade en kernel module som ikke er der ? Det er vel også det Dank sier ?!

iptables v1.2.4: Couldn't load match `length':/lib/iptables/libipt_length.so

Fant noe info her ikke om dette direkte, men i hvert fall noe som grenser opp mot denne problemstillingen:

http://asia.cnet.com/itmanager/netadmin/0,39006400,39049503-2,00.htm

Hvor finner du eller denne syntaks beskrivelsen:

"-m length --length 0:500 " Finner ikke dette beskrevet på man siden (?!?) (Eller ser jeg på en for gammel man side ?)

jeg har brugt følgende guide http://www.prout.be/qos/QoS-connection-tuning-HOWTO.html

--length 0:500
skulle gerne være pakke størelsen men jeg får stadig nogle fejl

iptables: No chain/target/match by that name

Hjælp mig gerne via icq eller msn

Uin: 32668910
Msn: politi_20@hotmail.com

kommandoen --length findes kun i iptables 1.2.5 +

Har du gjort sådan:

Networking options  --->
    Kernel/User netlink socket
    Network packet filtering (replaces ipchains)
        IP: Netfilter Configuration  --->
            IP tables support (required for filtering/masq/NAT)
            LENGTH match support
            MARK target support
    QoS and/or fair queueing  --->
        select everything here.

jeg tror jeg skal opdatere min kernel min siger at det er en 2.4 men jeg skal bruge en 2.416 som minnium

hvad siger

# uname -r

p.s. har du kompileret med ovenstående? Altså som jeg skriver i indlæg 23:48:43 ??

skal først til at kompilere om lidt

iptables blev installeret som rpm

kan jeg ikke se i en fil hvilken hardware der sidder i min linux box

jeg instalere redhat 8.0 imorgen og så følges der op på spørgsmålet

Ja, det forklarer kanskje saken. iptables er jo ikke firewall eller routingfunksjonen selv, bare et teksbasert grensesnitt for konfigurasjon av de funksjonene som finnes inne i kernel (dersom de er kompilert inn.)

Kunne ikke finne beskrivelse av "pakkesorteringskriterium" --lenght men viss den er helt ny, så forklarer jo det saken.

Det ligger vel videre i sakens natur at både kernel og iptabels konfigurasjonsverktøyet må støtte funksjonen samtidig for at det hele skal fungere. (RH 8.0 har vel 2.4.18 så vidt jeg husker, så det burdte gå bra.)

Kjente i utgangspunktet ikke til denne iptables eller firewall funksjonen, men ser i den refererte guiden følgende beskrivelse:

We will match the packets by their size and mark them acordingly. A packet of size 0 -> 500 will be considered interactive traffic and marked with fwmark value "3"

iptables -t mangle -A OUTPUT -m length --length 0:500 -j MARK --set-mark 3

Med andre ord:

For tabell mangle, sett til en regel i output chain som forandrer verdien av MARK feltet til 3 for de ip pakkene som har en lengde i intervallet fra 0 til 500.

-t = tabell
-A = append, sett til regel.
-m = match - kontroller om visse kriteria er oppfylt.
-j = jump - "jump" over til

Enig ? (Litt oppsummering.)

jeg fik det selv til at virke den gang. sry jeg glemte at følge op på spørsmålet, men hvis langbein lige smider et svar skal jeg nok dele point mellem jer :o)

og det var et modul jeg manglede og min kommando var heller ikke helt rigtig

zeus19 -> Den modul som manglet kunne du få lagt den in ? Har via opplysninger her på eksperten funnet ut at iptables ut fra visse forutsetminger kan matche tekststrenger. Dette vil i så fall åpne for en del nye muligheter (skulle en tro.). Lurer på om det kan være denne kernelmodulen du har funnet tak i ??

>Langbein< nej desværre men det virkede efter opgradering til Redhat 8.0

jeg fatter virkeligt ikke du gider afvise sådan et svar, pga af sølle 15 point.

Slet i betragtning af du har fået den hjælp der burde gøre det muligt at finde problemet.

Jeg ser ikke andet i dette spørgsmål, end det var tale om en "fejl 40"
Zeus19 > /dev/null

Ja, men det er da ikke egentlig så farlig med disse poengene .. Det får så være. Kommentaren til zeus19 inneholder en ganske interessant observasjon. Dersom det er slik at kernelmodule for matching av teksstrenger er innarbeidet fra RH8 så kan det kanske medføre at det er mulig å lage firewall regler som for eksempel stenger ute visse domener, altså å lage firevall filtering regler som har egenskaper som likner på det som ellers gjelder for application level firevall. Bare en liten teori eller tanke så langt ..

ja det er interesant.. Dog tror jeg ikke du kan lukke for enkelte domener. Det skyldes at iptables jo så skulle resolve dns for hvert domain. Dette ville ikke være brugbart på en server. :o)

Tja, nei .. det måtte eventuelt fungere på den måten at den fanget opp den teksstrengen i ip pakken som inneholdt en domene adresse, for eksempel "dropp alle ip pakker som inneholder tekststrengen "microsoft.com". Man kunne tenke seg at dette kunne fungere i de tilfeller at man for eksempel bruker absolutt adressering i html kode. Har aldri prøvd og aner ikke om dette event kunne fungere. Noen resolving kan det ikke under noen omstendighet bli snakk om. Det ville vel gå alt for langsomt.

Tror ikke det vil virke. iptables kigger jo ikke umiddelbart på destination - borset fra protokol/port og smider trafikken videre den vej. Du kunne jo i princippet sagtens smide FTP trafik over port 81, selvom FTP og HTTP er meget forskellige. Det kigger iptables ikke på. Den gør bare den "routing" den har fået besked på - baseret på, protokol/port

Teorien er ok, men jeg tror ikke den holder i virkeligheden :)

Ja vanligvis så sjekker man bare innholdet i ipheader. Har ikke funnet noe annet enn dette beskrevet i den ofesielle dokumentasjon.

Har der i mot sett eksempler her på eksperten der noen tydeligvis hadde forsøkt å gjøre sammenlikning med/i selve datadelen av ip pakken (så vidt jeg kunne bedømme.)

Forsøkte å kjøre dette scriptet og fikk melding om at de nødvendige kernel modules for slike tekst operasjoner ikke var loadet (så mon de da faktisk finnes ???)

Så en regel som sjekker lengden på en ip pakke, hva er det den måler lengden av ? Det kan vel ikke være "header".

Vet ikke svaret på disse problemstillingene. Bare noen løse tanker (som basis for videre test.)

Tja, jævnfør http://www.eksperten.dk/spm/270702 er det muligt at lave en match på tekst i tcp-pakken.

Fundet på: http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO.txt - afsnit 3.18, men jeg kan ikke se, hvilken version denne patch evt. er med i - eller man altid selv skal patche?

Testet denne:

iptables -A INPUT -p TCP -m string --string "testing" -j ACCEPT

Dette medførte melding:

Couldn't load match `string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory

Ser vel ut til ikke å finnes (På RH 8.0) ?

3.18.  string patch

  This patch by Emmanuel Roger <winfield@freegates.be> adds a new match
  that allows you to match a string anywhere in the packet.


  For example, to match packets containing the string ``cmd.exe''
  anywhere in the packet and queue them to a userland IDS, you could use
  :



      # iptables -A INPUT -m string --string 'cmd.exe' -j QUEUE

      # iptables --list
      Chain INPUT (policy ACCEPT)
      target    prot opt source              destination
      QUEUE      all  --  anywhere            anywhere          STRING match cmd.exe



  Please do use this match with caution. A lot of people want to use
  this match to stop worms, along with the DROP target. This is a major
  mistake.  It would be defeated by any IDS evasion method.


  In a similar fashion, a lot of people have been using this match as a
  mean to stop particular functions in HTTP like POST or GET by dropping
  any HTTP packet containing the string POST. Please understand that
  this job is better done by a filtering proxy. Additionally, any HTML
  content with the word POST would get dropped with the former method.
  This match has been designed to be able to queue to userland
  interesting packets for better analysis, that's all. Dropping packet
  based on this would be defeated by any IDS evasion method.


  Supported options for the string match are :


    --string [!] string
        -> Match a string in a packet

Så skal man visst kjøre "Patch-O-matic" først, man skal først patche. Har aldri prøvd den.
Ref linken:
http://www.netfilter.org/documentation/HOWTO//netfilter-extensions-HOWTO.txt

Og at bruge den til "X-Kazaa" er ikke efter bogen jævnfør E. Roger's egen beskrivelse - ingen DROP ud fra match :-)

lap/dank -> Hvis du/dere skulle komme til å teste denne muligheten for sjekking/filtreing av text kan du da legge et par ord her ?? :-)

lukker