PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme Iptables



trashcity
30.11.2003, 13:59
Soweit so gut

Nun schreibt mir gentoo wenn ich iptables –F ausführe folgende Meldung

/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
iptables v1.2.8: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Was nun

devilz
30.11.2003, 14:10
Hmmm da steht doch schon alles ....

Updatet mal deinen Kernel ... 2.4.21-ac4 issen wenig alt *g*

-> 2.4.22-rc2-ac1 sollte aktuell sein :D

trashcity
30.11.2003, 14:32
Leider kann ich wegen dem via-rhine Treiber nicht updaten
Ich bin von 2.4.22-ac auf 2.4.21-ac gewechselt

HangLoose
30.11.2003, 14:44
moin moin


hast du die System.map des neuen kernel nach /boot kopiert?


Gruß HL

trashcity
30.11.2003, 16:48
ja
ich arbeite mit gentoo und die neu bzImage ist im /boot

trashcity
30.11.2003, 16:58
Code:
< > Connection tracking (required for masq/NAT)
< > Userspace queueing via NETLINK (EXPERIMENTAL)
<M> IP tables support (required for filtering/masq/NAT)
<M> limit match support
<M> MAC address match support
<M> Packet type match support
<M> netfilter MARK match support
<M> Multiple port match support
< > TOS match support
<M> ECN match support
<M> DSCP match support
<M> AH/ESP match support
<M> LENGTH match support
<M> TTL match support
<M> tcpmss match support
< > Unclean match support (EXPERIMENTAL)
< > Owner match support (EXPERIMENTAL)
<M> Packet filtering
< > REJECT target support
< > MIRROR target support (EXPERIMENTAL)
<M> Packet mangling
<M> TOS target support
< > ECN target support
<M> DSCP target support
<M> MARK target support
<M> LOG target support
<M> ULOG target support
<M> TCPMSS target support
<M> ARP tables support
<M> ARP packet filtering
< > ipchains (2.2-style) support
< > ipfwadm (2.0-style) support

Das sind meine iptables Einstellungen im Kernel falls ich noch was dazu geben muss oder auch wegnähmen soll bitte posten

HangLoose
30.11.2003, 17:07
hi

ich meine schon die System.map und nicht bzImage. die System.map findest du unter /usr/src/linux, was eigentlich nur ein link ist, der bei gentoo in allg. auf die zuletzt gezogenen kernelsourcen zeigt.

diese System.map benennst du am besten um. ich hänge einfach immer die jeweilige kernelversion an.

mv /usr/src/linux/System.map /usr/src/linux/System.map-2.4.21-ac

das ganze jetzt noch nach /boot kopieren

cp /usr/src/linux/System.map-2.4.21-ac /boot

nach einem reboot sollten die unresolved symbol eigentlich verschwunden sein. hoffe ich ;)


Gruß HL

HangLoose
30.11.2003, 17:10
Code:
< > Connection tracking (required for masq/NAT)
< > Userspace queueing via NETLINK (EXPERIMENTAL)
<M> IP tables support (required for filtering/masq/NAT)
<M> limit match support
<M> MAC address match support
<M> Packet type match support
<M> netfilter MARK match support
<M> Multiple port match support
< > TOS match support
<M> ECN match support
<M> DSCP match support
<M> AH/ESP match support
<M> LENGTH match support
<M> TTL match support
<M> tcpmss match support
< > Unclean match support (EXPERIMENTAL)
< > Owner match support (EXPERIMENTAL)
<M> Packet filtering
< > REJECT target support
< > MIRROR target support (EXPERIMENTAL)
<M> Packet mangling
<M> TOS target support
< > ECN target support
<M> DSCP target support
<M> MARK target support
<M> LOG target support
<M> ULOG target support
<M> TCPMSS target support
<M> ARP tables support
<M> ARP packet filtering
< > ipchains (2.2-style) support
< > ipfwadm (2.0-style) support

Das sind meine iptables Einstellungen im Kernel falls ich noch was dazu geben muss oder auch wegnähmen soll bitte posten


das hier würde ich noch reinnehmen

< > REJECT target support

alles droppen ist nicht die feine englische art.


Gruß HL

trashcity
30.11.2003, 17:18
Frage an HL und alle anderen

Soll ich alles als modul oder fix in den Kernel tun

grüße mike

ps.:im verzeichnis /usr/src/linux ist keine system.map

und was macht die

HangLoose
30.11.2003, 17:31
bei iptables würde ich alles als modul nehmen.


System.map nicht system.map, falls du nur nen notorischer kleinschreiber bist, wie meinereiner ;), gibt es in /usr/src/linux-2.4.21-ac denn eine System.map?

>>und was macht die

vereinfacht gesagt, enthält sie infos über die module


Gruß HL

hopfe
30.11.2003, 17:51
das hier würde ich noch reinnehmen

< > REJECT target support

alles droppen ist nicht die feine englische art.
Sollte man aber machen, und nur die gültigen Verbindungen erlauben. Ist um einiges Sicherer, und man merkt sofort wenn man was vergessen hat.

HangLoose
30.11.2003, 18:42
hi hopfe


Sollte man aber machen, und nur die gültigen Verbindungen erlauben. Ist um einiges Sicherer, und man merkt sofort wenn man was vergessen hat.

möglich, das du mich falsch verstanden hast.

ich sehe es genau wie du, das die default policy erstmal auf "alles verbieten" stehen sollte. nur eben nicht mit einem -j DROP, bei dem die pakete still und heimlich fallen gelassen werden, sondern mit einem -j REJECT --with-tcp-reset z.b.

damit erhält der absender der pakete eine antwort ala "host nicht erreichbar" bpsw.
das ganze gerede über stealth (unsichtbar) ist eh ein ammenmärchen. wenn du alles dropst bist du maximal für scriptkiddies unsichtbar ;).

es gibt aber auch situationen oder pakete auf die nicht mit einem REJECT geantwortet werden darf. das wären z.b. gewisse icmp fehlernachrichten. daher bietet es sich an, die default policy in eine userdefinierte chain *zu packen*. in der wird dann entschieden, welche pakete gedropt werden und welche ein reject erhalten.



Gruß HL

trashcity
30.11.2003, 19:54
frage an HangLoose

muss ich System.mapXXX noch wo eintragen

HangLoose
30.11.2003, 21:07
nein musst du nicht, die sollte der kernel dann *finden*


Gruß HL

trashcity
01.12.2003, 08:36
Leider hat sich nix verändert
Iptables kann ich immer noch nicht starten

nachdem bei mir iptables gleich beim booten mit startet kommt immer die gleiche Fehler meldung so von wegen ich soll zuerst ein par rules baun

nur mit iptables -F kommen immer noch


hera root # iptables -F
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
iptables v1.2.7a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

insmod bringt mir auch nur diese meldung

hera root # insmod ip_tables
Using /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt

ich bin jetzt schon auf die version 1.2.7-r3 zurück gewechselt hat aber nix gebracht und etzt hab ich die angast das ich auf einen anderen Kernel wechseln muss

was aber nicht wirklich möglich ist da im 2.4.22-ac kernel meine Netzwerkkarte onboard nicht geht und ich keine andere mehr verwenden kann hab nur einen PCI slot wo schon meine D-Link drinen ist

mein jetziger Kernel ist 2.4.21-ac was soll ich jetzt tun

das was ich mir noch vorstellen könnte währe das ich etwas im Kernel vergessen habe nur was:help:


an HangLoose
ich hab die System.map im verzeichnis /usr/src/linux-2.4.21.ac gefunden
muss ich einen neue bauen oder ...
ich hab sie einfach umbenannt und ins /boot kopiert was überhaupt nix gebracht hat

trashcity
01.12.2003, 11:10
Soweit so gut

Nachdem ich jetzt die Kiste neu gestartet hab sagt mir

hera root # /etc/init.d/iptables status
* status: started
hera root #
nur meine Fehler sind immer noch da

HangLoose
01.12.2003, 18:50
moin moin

kannst du mal bitte die ausgabe von

lsmod

und

iptables -L

posten.


Gruß HL

trashcity
01.12.2003, 18:58
hera root # lsmod
Module Size Used by Not tainted
via-rhine 13840 1


hera root # iptables -L
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
iptables v1.2.7a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

meinst du ich sollte einen neuen Kernel bauen?

HangLoose
01.12.2003, 19:06
hera root # lsmod
Module Size Used by Not tainted
via-rhine 13840 1


hera root # iptables -L
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
iptables v1.2.7a: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

meinst du ich sollte einen neuen Kernel bauen?


ich würde fast zu tendieren. bevor du das machst, mach mal bitte nochmal ein

depmode -a

und versuch anschließend nochmal das ip-tables modul zu laden

trashcity
01.12.2003, 19:12
hera netfilter # depmod -a
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/arp_tables.o
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/arptable_filter.o
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_conntrack.o
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_queue.o
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ipt_REJECT.o
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/iptable_filter.o
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/iptable_mangle.o
depmod: *** Unresolved symbols in /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/iptable_nat.o
hera netfilter # modprobe ip_tables
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_unregister_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol nf_register_sockopt
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
hera netfilter #

HangLoose
01.12.2003, 19:24
ok, soviel dazu ;)

bevor wir anfangen den kernel neu zu compilieren, poste mir bitte nochmal die ausgabe von

ls -al /usr/src

normal sollte das, wie schon gesagt, ein link auf die entsprechenden kernelsourcen sein und bei dir scheint der nicht auf deine 2.4.21-ac zu zeigen

trashcity
01.12.2003, 19:27
hera netfilter # ls -al /usr/src
total 6
drwxr-xr-x 6 root root 240 Dec 1 15:35 .
drwxr-xr-x 13 root root 448 Nov 29 11:51 ..
-rw-r--r-- 1 root root 0 Nov 22 01:25 .keep
lrwxrwxrwx 1 root root 21 Dec 1 15:35 linux -> linux-2.4.23_pre8-gss
drwxr-xr-x 14 root root 768 Dec 1 11:42 linux-2.4.21-ac4
drwxr-xr-x 16 root root 808 Dec 1 15:01 linux-2.4.21-hardened
drwxr-xr-x 15 root root 816 Nov 26 19:33 linux-2.4.22-ac4
drwxr-xr-x 16 root root 864 Dec 1 19:02 linux-2.4.23_pre8-gss
hera netfilter #


ich hab heute schon versucht einen neuen Kernel zu bauchen

HangLoose
01.12.2003, 19:39
ok, mach mal folgendes. erstmal den link auf 2.4.21ac ändern.

ln -s /usr/src/linux /usr/src/linux-2.4.21-ac4

wenn du jetzt ein ls -al /usr/src machst, sollte der link (siehe pfeil) nicht mehr auf die sourcen vom linux-2.4.23_pre8-gss zeigen, sondern auf linux-2.4.21-ac4.

anschließend

make menuconfig

make dep && make clean bzImage modules modules_install

anschließend, das übliche kernel und system.map nach boot kopieren.

edit: eventuell würde es auch schon reichen nur die module neu zu übersetzen. da bin ich mir aber nicht sicher. wenn du es versuchen willst

make clean && make modules modules_install

Gruß HL

trashcity
01.12.2003, 20:09
bitte sag mir was soll ich unter make menuconfig einstellen

HangLoose
01.12.2003, 20:15
also, was du für deinen kernel alles brauchst, kann ich dir nicht sagen. kenne ja deine hardware nicht.

das was du oben an *iptables moduls* gepostet hast, war schon ok. nur noch das REJECT reinnehmen.


der link stimmt jetzt?

trashcity
01.12.2003, 20:38
der link stimmt jetz
erstelle gerade den Kernel

trashcity
01.12.2003, 20:54
ich hab jetzt das problem das er meine Netzwerkkarten (module)
via-rhine
sundance
beim start nicht laden kann

HangLoose
01.12.2003, 20:56
hm, eincompiliert isses sicher?

was kommt denn für eine fehlermeldung?

trashcity
01.12.2003, 21:00
ich habs jetz fix in den Kernel rein und mach noch schnell ein make dep && make clean bzImage modules modules_install

trashcity
01.12.2003, 21:48
ok mein System ist wieder hoch
so was meinst du HangLoose was soll ich jetzt machen :frage:

HangLoose
01.12.2003, 21:51
ip_tables laden?

trashcity
01.12.2003, 21:56
hera root # modprobe ip_tables
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol _mmx_memcpy
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
hera root #

ich hab iptables im default stehen und da kommt beim neustart kein fehler

trashcity
01.12.2003, 21:58
soll ich iptabels neu mergen und wenn ja welche version


hera iptables # ls
ChangeLog files iptables-1.2.7a-r4.ebuild iptables-1.2.8-r2.ebuild iptables-1.2.9.ebuild
Manifest iptables-1.2.7a-r3.ebuild iptables-1.2.8-r1.ebuild iptables-1.2.8.ebuild metadata.xml
hera iptables #
hera iptables #

HangLoose
01.12.2003, 22:08
nur mal so nebenbei, auf der sonnenseite des lebens stehst du momentan nicht ;)



hera root # modprobe ip_tables
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: unresolved symbol _mmx_memcpy
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
hera root #

ich hab iptables im default stehen und da kommt beim neustart kein fehler

nimm iptables mal raus aus dem default runlevel. es reicht, wenn die module später vom script geladen werden.

und schau mal bitte nach, ob es das modul ip_tables.o im verz. /lib/modules/2.4.21-ac4/kernel/net/ipv4/netfilter gibt.

trashcity
01.12.2003, 22:15
hera netfilter # ls
arp_tables.o ipt_LOG.o ipt_TOS.o ipt_ecn.o ipt_mac.o ipt_tcpmss.o iptable_mangle.o
arptable_filter.o ipt_MARK.o ipt_ULOG.o ipt_esp.o ipt_mark.o ipt_tos.o
ip_tables.o ipt_REJECT.o ipt_ah.o ipt_length.o ipt_multiport.o ipt_ttl.o
ipt_DSCP.o ipt_TCPMSS.o ipt_dscp.o ipt_limit.o ipt_pkttype.o iptable_filter.o
hera netfilter #


iptables ist jetzt aus der default draussen

HangLoose
01.12.2003, 22:24
hm, bin so langsam mit meinem latein am ende.


hast du in deinem kernel

CONFIG_MODVERSIONS=y.

drin. wenn ja fällt mir nur noch ein, das rauszunehmen.

trashcity
01.12.2003, 22:26
CONFIG_MODVERSIONS=y. wo find ich das bitte im kernel

HangLoose
01.12.2003, 22:31
im ersten oder zweiten *menu*, sitze grade an keiner linuxkiste

trashcity
01.12.2003, 22:34
qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqk x
x x Code maturity level options ---> x x
x x Loadable module support ---> x x
x x Processor type and features ---> x x
x x General setup ---> x x
x x Memory Technology Devices (MTD) ---> x x
x x Parallel port support ---> x x
x x Plug and Play configuration ---> x x
x x Block devices ---> x x
x x Multi-device support (RAID and LVM) ---> x x
x x Networking options ---> x x
x x Telephony Support ---> x x
x x ATA/IDE/MFM/RLL support ---> x x
x x SCSI support ---> x x
x x Fusion MPT device support ---> x x
x x IEEE 1394 (FireWire) support (EXPERIMENTAL) ---> x x
x x I2O device support ---> x x
x x Network device support ---> x x
x x Amateur Radio support ---> x x
x x IrDA (infrared) support ---> x x
x x ISDN subsystem ---> x x
x x Old CD-ROM drivers (not SCSI, not IDE) ---> x x
x x Input core support ---> x x
x x Character devices ---> x x
x x Multimedia devices ---> x x
x x File systems ---> x x
x x Console drivers ---> x x
x x Sound ---> x x
x x USB support ---> x x
x x Bluetooth support ---> x x
x x Kernel hacking ---> x x
x x Library routin

leider find ich es nicht

HangLoose
01.12.2003, 22:46
2. *menu* => Loadable module support => Set version information on all module symbols

rausnehmen

trashcity
01.12.2003, 22:49
hatte ich drin soll ich jetzt nur make bzimage machen oder doch alles?

HangLoose
01.12.2003, 23:00
mach das volle programm, kommt jetzt eh nicht mehr drauf an ;)

trashcity
02.12.2003, 09:03
Super Sie Läuft

HangLoose
02.12.2003, 17:44
moin moin


ich hoffe mal mit "Sie" ist iptables + netzwerkkarte gemeint ;).


ps: war ja mal wieder ne schwere geburt. an der anzahl der antworten bis zur lösung muss ich noch arbeiten ;).



Gruß HL

trashcity
03.12.2003, 09:20
An der Zahl der Antworten kannst du wirklich nix dafür

Ist halt schon schwerer wenn ein MS Fachmann versucht auf Linux umzusteigen
Und sich gleich eine der besten aber auch anspruchsvollsten Version halt nicht Suse aussucht


Ich möchte mich bei DIR um deine super hilfe bedanken

Danke

Grüße MIK

Alexander
27.03.2005, 11:50
2. *menu* => Loadable module support => Set version information on all module symbols
rausnehmen

Ich bin echt froh das es ein "Archiv" gibt. Hatte das selbe Problem nur das ich überhaupt keine Module laden konnte.

Wozu ist diese funktion überhaupt, wenn sie offenbar nur Probleme macht?