Probleme Iptables

Dieses Thema: "Probleme Iptables" im Forum "Firewalls" wurde erstellt von trashcity, 30.11.2003.

  1. #1 trashcity, 30.11.2003
    trashcity

    trashcity Foren As

    Dabei seit:
    30.11.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    austria
    Soweit so gut

    Nun schreibt mir gentoo wenn ich iptables –F ausführe folgende Meldung
    Code:
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt 
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt 
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed 
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed 
    iptables v1.2.8: can't initialize iptables table `filter': iptables who? (do you need to insmod?) 
    Perhaps iptables or your kernel needs to be upgraded. 
    Was nun
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. devilz

    devilz Pro*phet
    Administrator

    Dabei seit:
    01.05.2002
    Beiträge:
    12.244
    Zustimmungen:
    0
    Ort:
    Hessen
    Hmmm da steht doch schon alles ....

    Updatet mal deinen Kernel ... 2.4.21-ac4 issen wenig alt *g*

    -> 2.4.22-rc2-ac1 sollte aktuell sein :D
     
  4. #3 trashcity, 30.11.2003
    trashcity

    trashcity Foren As

    Dabei seit:
    30.11.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    austria
    Leider kann ich wegen dem via-rhine Treiber nicht updaten
    Ich bin von 2.4.22-ac auf 2.4.21-ac gewechselt
     
  5. #4 HangLoose, 30.11.2003
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    moin moin


    hast du die System.map des neuen kernel nach /boot kopiert?


    Gruß HL
     
  6. #5 trashcity, 30.11.2003
    trashcity

    trashcity Foren As

    Dabei seit:
    30.11.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    austria
    ja
    ich arbeite mit gentoo und die neu bzImage ist im /boot
     
  7. #6 trashcity, 30.11.2003
    trashcity

    trashcity Foren As

    Dabei seit:
    30.11.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    austria
    Code:
    Code: 
          < > Connection tracking (required for masq/NAT)                                          
                                      < > Userspace queueing via NETLINK (EXPERIMENTAL)                                        
                                     <M> IP tables support (required for filtering/masq/NAT)                                  
                                      <M>   limit match support                                                                
                                     <M>   MAC address match support                                                          
                                     <M>   Packet type match support                                                          
                                     <M>   netfilter MARK match support                                                        
                                      <M>   Multiple port match support                                                        
                                      < >   TOS match support                                                                  
                                      <M>   ECN match support                                                                  
                                     <M>   DSCP match support                                                                  
                                     <M>   AH/ESP match support                                                                
                                      <M>   LENGTH match support                                                                
                                      <M>   TTL match support                                                                  
                                      <M>   tcpmss match support                                                                
                                      < >   Unclean match support (EXPERIMENTAL)                                              
                                      < >   Owner match support (EXPERIMENTAL)                                                  
                                      <M>   Packet filtering                                                                    
                                      < >     REJECT target support                                                            
                                     < >     MIRROR target support (EXPERIMENTAL)                                              
                                     <M>   Packet mangling                                                                    
                                     <M>     TOS target support                                                                
                                     < >     ECN target support                                                                
                                    <M>     DSCP target support                                                              
                                      <M>     MARK target support                                                              
                                      <M>   LOG target support                                                                  
                                      <M>   ULOG target support                                                                
                                      <M>   TCPMSS target support                                                              
                                    <M> ARP tables support                                                                    
                                      <M>   ARP packet filtering                                                                
                                    < > ipchains (2.2-style) support                                                          
                                      < > ipfwadm (2.0-style) support                                                          
                                                                                   
    Das sind meine iptables Einstellungen im Kernel falls ich noch was dazu geben muss oder auch wegnähmen soll bitte posten
     
  8. #7 HangLoose, 30.11.2003
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    hi

    ich meine schon die System.map und nicht bzImage. die System.map findest du unter /usr/src/linux, was eigentlich nur ein link ist, der bei gentoo in allg. auf die zuletzt gezogenen kernelsourcen zeigt.

    diese System.map benennst du am besten um. ich hänge einfach immer die jeweilige kernelversion an.

    mv /usr/src/linux/System.map /usr/src/linux/System.map-2.4.21-ac

    das ganze jetzt noch nach /boot kopieren

    cp /usr/src/linux/System.map-2.4.21-ac /boot

    nach einem reboot sollten die unresolved symbol eigentlich verschwunden sein. hoffe ich ;)


    Gruß HL
     
  9. #8 HangLoose, 30.11.2003
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH

    das hier würde ich noch reinnehmen

    < > REJECT target support

    alles droppen ist nicht die feine englische art.


    Gruß HL
     
  10. #9 trashcity, 30.11.2003
    Zuletzt bearbeitet: 30.11.2003
    trashcity

    trashcity Foren As

    Dabei seit:
    30.11.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    austria
    Frage an HL und alle anderen

    Soll ich alles als modul oder fix in den Kernel tun

    grüße mike

    ps.:im verzeichnis /usr/src/linux ist keine system.map

    und was macht die
     
  11. #10 HangLoose, 30.11.2003
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    bei iptables würde ich alles als modul nehmen.


    System.map nicht system.map, falls du nur nen notorischer kleinschreiber bist, wie meinereiner ;), gibt es in /usr/src/linux-2.4.21-ac denn eine System.map?

    >>und was macht die

    vereinfacht gesagt, enthält sie infos über die module


    Gruß HL
     
  12. hopfe

    hopfe Haudegen

    Dabei seit:
    01.04.2003
    Beiträge:
    733
    Zustimmungen:
    0
    Ort:
    Aachen
    Sollte man aber machen, und nur die gültigen Verbindungen erlauben. Ist um einiges Sicherer, und man merkt sofort wenn man was vergessen hat.
     
  13. #12 HangLoose, 30.11.2003
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    hi hopfe

    möglich, das du mich falsch verstanden hast.

    ich sehe es genau wie du, das die default policy erstmal auf "alles verbieten" stehen sollte. nur eben nicht mit einem -j DROP, bei dem die pakete still und heimlich fallen gelassen werden, sondern mit einem -j REJECT --with-tcp-reset z.b.

    damit erhält der absender der pakete eine antwort ala "host nicht erreichbar" bpsw.
    das ganze gerede über stealth (unsichtbar) ist eh ein ammenmärchen. wenn du alles dropst bist du maximal für scriptkiddies unsichtbar ;).

    es gibt aber auch situationen oder pakete auf die nicht mit einem REJECT geantwortet werden darf. das wären z.b. gewisse icmp fehlernachrichten. daher bietet es sich an, die default policy in eine userdefinierte chain *zu packen*. in der wird dann entschieden, welche pakete gedropt werden und welche ein reject erhalten.



    Gruß HL
     
  14. #13 trashcity, 30.11.2003
    trashcity

    trashcity Foren As

    Dabei seit:
    30.11.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    austria
    frage an HangLoose

    muss ich System.mapXXX noch wo eintragen
     
  15. #14 HangLoose, 30.11.2003
    HangLoose

    HangLoose kleiner Bruder von ruth

    Dabei seit:
    07.11.2003
    Beiträge:
    319
    Zustimmungen:
    0
    Ort:
    HH
    nein musst du nicht, die sollte der kernel dann *finden*


    Gruß HL
     
  16. #15 trashcity, 01.12.2003
    trashcity

    trashcity Foren As

    Dabei seit:
    30.11.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    austria
    Leider hat sich nix verändert
    Iptables kann ich immer noch nicht starten

    nachdem bei mir iptables gleich beim booten mit startet kommt immer die gleiche Fehler meldung so von wegen ich soll zuerst ein par rules baun

    nur mit iptables -F kommen immer noch

    Code:
    hera root # iptables -F
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
    iptables v1.2.7a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
    Perhaps iptables or your kernel needs to be upgraded.
    insmod bringt mir auch nur diese meldung
    Code:
    hera root # insmod ip_tables
    Using /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt
    /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt
    ich bin jetzt schon auf die version 1.2.7-r3 zurück gewechselt hat aber nix gebracht und etzt hab ich die angast das ich auf einen anderen Kernel wechseln muss

    was aber nicht wirklich möglich ist da im 2.4.22-ac kernel meine Netzwerkkarte onboard nicht geht und ich keine andere mehr verwenden kann hab nur einen PCI slot wo schon meine D-Link drinen ist

    mein jetziger Kernel ist 2.4.21-ac was soll ich jetzt tun

    das was ich mir noch vorstellen könnte währe das ich etwas im Kernel vergessen habe nur was:help:


    an HangLoose
    ich hab die System.map im verzeichnis /usr/src/linux-2.4.21.ac gefunden
    muss ich einen neue bauen oder ...
    ich hab sie einfach umbenannt und ins /boot kopiert was überhaupt nix gebracht hat
     
Thema:

Probleme Iptables

Die Seite wird geladen...

Probleme Iptables - Ähnliche Themen

  1. Routingprobleme mit iptables

    Routingprobleme mit iptables: Hallo zusammen, ich sitze hier gerade an einem neuen Router und komme im letzten Schritt einfach nicht voran. Insgesamt sollen 3...
  2. openvpn auf debian eingerichtet, probleme mit iptables und routing

    openvpn auf debian eingerichtet, probleme mit iptables und routing: hallo liebe unixboard.de gemeinde, lange profitiere ich schon von euch, da mich oftmals google-links zu euch fuehren, oder ihr eine meiner...
  3. Probleme mit iptables

    Probleme mit iptables: Hi, nachdem ich auf meinem Rechner Gentoo installiert hatte, ursprünglich nur zum testen, hat mir das Konzept so gut gefallen, das ich Gentoo...
  4. Probleme mit iptables/eigenem Script

    Probleme mit iptables/eigenem Script: Hi, ich habe noch einige Schwierigkeiten mit den iptables. Ich hab mir einen Router aufgesetzt, wie dort [1] beschrieben, der nur Masquerading...
  5. Forscher analysieren Durchsatzprobleme im Linux-Scheduler

    Forscher analysieren Durchsatzprobleme im Linux-Scheduler: Eine Gruppe von Forschern hat Fälle identifiziert, in denen der Scheduler im Linux-Kernel falsche Entscheidungen trifft und die CPUs nicht so gut...