Изпечатай

[toxigen]

Аз правих същото миналата седмица на Слак 10.2 с ядро 2.6.13.

Описвам подред нещата:
1. Теглиш P-o-M от netfilter, както споменаха хората по-нагоре
2. Теглиш сорса на ядрото и сорса на iptables версията, която имаш и съответно ги разархивираш някъде
3. Не питай дали ще стане без сорса - няма.
4. Пускаш runme base и му указваш точния път до сорсовете (пита си)
5. Като стигнеш на TTL му даваш y да го приложи, на останалите N
6. Като си свърши работата (ще я свърши, ако сорса на ядрото и iptables са за същите като инсталираните) аз лично процедирам така:

Примерен код

cp /usr/src/linux/.config /usr/src/linux/config.bkp cp /boot/config /usr/src/linux/.config make oldconfig  <--- тук пита дали да сложи TTL manipulation бла бла make dep bzImage modules modules_install ...

Нататък всички знаем какво се прави, за да се подкара новото ядро.
След това използвам --ttl-set 64 , а не ttl-inc - според документацията ttl-inc не увеличава стойността с даденото число, а толкова ПЪТИ - сравка man iptables
Следователно при мен става:

Примерен код

iptables -t mangle -A PREROUTING -j TTL --ttl-set 64

Може и 128 да се използва, но предпочитам оригиналното 64 (за линукс машина)

[Hel1Fire]

Добре. Или съм много тъп и некадърен или ... Ето какво правя:
1. Разархивирам iptables + P-o-M + kernel
2. ./runme base
3. iptables -> make ; make install
4. kernel -> make menuconfig (зареждам си вече направен от многото компилации config)
5. make modules; make modules_install; make bzImage
(1 - 5 -> всичко това се прави на друга бърза машина)

6. Прехвърлям на сървъра bzImage + /lib/modules/2.4.31
7. Оправям лило-то
8. Рестарт
9. iptables -t mangle -A PREROUTING -j TTL --ttl-set 64

резултата е същия -> no such chain и дрън дрън ...

Между другото пробвах с другия подход да коментирам намаляването на TTL, но нищо не стана.

[zarhi]

А защо не обясниш с прости думички какво искаш да постигнеш? Причината стойноста на TTL с която пристигат пакетите при теб да не ти харесва сигурно е достатъчко основателна.

И все пак: когато iptables срещне -J TARGET се изпълнява "modprobe ipt_TARGET". Ако няма такъв модул получаваш " no such chain".

Модулите се намират в /lib/modules/kernel-version/kernel/net/ipv4/netfilter/
ipt_target.o е модул за match, ipt_TARGET.o е за jump. Иди в тази директория и виж има ли изобщо ipt_TTL.o. Ако го има: insmod ipt_TTL.o ще го зареди, ако няма, но компилацията на кернела и модулите е минала успешно, значи в config файла на кернела нямаш ето този ред: CONFIG_IP_NF_TARGET_TTL=m

Довечера като се върна ще погледна. Дано това да е проблема...

[zarhi]

Дано. Надявам се и да знаеш какво точно се случва с --ttl-inc/set защото с такова правило адски лесно се прави безкраен loop в локалната мрежа.

[toxigen]

Особено ако пакетите идват със стойност на TTL примерно 64 и сложиш ttl-inc 128 => получаваш приятни стойности (всъщност 255 заради ограничението '> )

[Hel1Fire]

Ок. Явно проблема е, че не зарежда таргет-а. CONFIG_IP_NF_TARGET_TTL=m  е сетнато вече, но така или иначе не прави модула таргет и не мога да го използвам!! Птобвах и с ядро 2.6.13 , но ефекта е същия. Явно го няма и неможе да го компилира, но защо е така незнам??

[Hel1Fire]

Вземам да се отчайвам от себе си вече - явно съм много тъп и некадърен. Ето какво правя:
1. разархивирам iptables + p-o-m.
2. ./p-o-m/runme base -> тука си избирам ядрото (2.4.31) + iptables и като доиде ред на TTL manipulation му казвам у, а на всички други N.
3. iptalbes make + make isntall
4. ядрото -> make modules + make modules_isntall + make bzImage
Ето частта от 2.4.31/.config която се отнася за netfilter:
#
#   IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=m
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_AMANDA=m
CONFIG_IP_NF_TFTP=m
CONFIG_IP_NF_IRC=m
CONFIG_IP_NF_QUEUE=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
CONFIG_IP_NF_MATCH_UNCLEAN=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_MIRROR=m
CONFIG_IP_NF_NAT=m
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_NAT_AMANDA=m
CONFIG_IP_NF_NAT_SNMP_BASIC=m
CONFIG_IP_NF_NAT_IRC=m
CONFIG_IP_NF_NAT_FTP=m
CONFIG_IP_NF_NAT_TFTP=m
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_MARK=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
CONFIG_IP_NF_TARGET_TTL=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP_NF_ARPFILTER=m
CONFIG_IP_NF_ARP_MANGLE=m
CONFIG_IP_NF_COMPAT_IPCHAINS=m
CONFIG_IP_NF_NAT_NEEDED=y
# CONFIG_IP_NF_COMPAT_IPFWADM is not set

Гледах в /lib/modules/..../netfilter , но няма модул ipt_TTL, ipt_target, ipt_TARGET, но за сметка на това има ipt_ttl.

5. оправям lilo
6. Рестарт и след това пак същата грешка -> no such chain .......

'> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '> '>

Пробвай да компилираш статично всичко, без никакви модули. Ако ползваш CBQ също.

[Hel1Fire]

Оффф... Компилирах всичко в ядрото както каза, но този път ми дава друга грешка '> -> modprobe: can't locate module ip_tables; iptables 1.3.3 can't initialize table .... (зависи каква таблица съм задал)  : iptables who? Do u want to insmod?
Perhaps your kernel needs to be upgraded.  '>

[Hel1Fire]

Излъгах. Забравих да настроя лилото. Проблема с no such chain си остана!!!!

[Hel1Fire]

Май открих къде е проблема -> като му дам make menuconfig и не ми показва TTL target support ?!?!? Явно за това не го компилира въпреки, че съм го написал в .config файла. Погледнах и има netfilter/ipt_TTL.c , но не го компилира!!

[toxigen]

Сигурен ли си, че компилираш правилното ядро'> Ако iptables е същата версия като инсталираната НЕ Е необходимо да я компилираш! Пробвай и make oldconfig като копираш актуалния .config в /usr/src/linux - ако си пачнал сорса както трябва ще те попита дали да сложи TTL target support и за нищо друго. Така трябва да стане.
А можеш и да ползваш ядро от 2.6 серията все пак - при мен с 2.6.13 работи.
Според мен или не ползваш правилния конфиг при компилацията на ядрото или това фамозно прекомпилиране на iptables омазва нещата.

И бах маа му. Най-накрая стана. Може би проблема е бил, че аз като написах TARGET_TTL в .config - a съм го сложил не където трябва (2-3 реда по-нагоре). Като му дадох make oldconfig го премести и го компилира като хората. Пфууу '>. Баси родилните мъки. Утре ще се блъскам с htb/cbq ; бъзикане на iptables, за да си направя по-добър firewall - a и като се знам какъв съм некадърник може пак да ви тормозя с тъпи въпроси '> . Между другото кое да използвам - cbq или htb?

[toxigen]

Което ти харесва повече '> Виж тук е обяснено какви са разликите. HTB е мааалко по-просто за конфигуриране (естествено ако не използваш cbq.init или htb.init скриптовете, които силно ти препоръчвам) директно през tc, т.е. има по-малко параметри за задаване.