ip6tables

Le
Eric Masson
'Lut,

Je poste ici, mais si c'est plus approprié ailleurs, ne pas hésiter à
rediriger.

Dans le cadre de l'installation de Kamikaze 8.09.2 sur un WGT634U, je
regardais cette page le we dernier :
https://www.sixxs.net/wiki/IPv6_Firewalling#Example_IPv6_firewall_script_.28with_state.29

J'ai testé les commandes présentées dans ce script et celles ayant trait
au routing header 0 ne sont pas prises en compte et retournent
systématiquement un message du type "No chain/target/match by that name"

Les modules support ipv6 sont chargés, et la version de ip6tables
supporte les règles stateful.

Si quelqu'un a une idée sur le sujet, merci d'avance.

--
N> La radio pourrait etre incluse dans ce forum.
B> Dans un groupe s'appelant TV ? fr.rec.radio parle de quoi ?
N> j'ai dis une connerie ?
-+- in: <http://www.le-gnu.net> - C'est juste pour être sur -+-
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Olivier Miakinen
Le #21316671
Bonjour,

Le 04/03/2010 20:18, Eric Masson a écrit :

je regardais cette page le we dernier :
https://www.sixxs.net/wiki/IPv6_Firewalling#Example_IPv6_firewall_script_.28with_state.29



Et tu peux toujours la regarder maintenant ? Pour moi, aussi bien
SeaMonkey que Firefox et Internet Explorer m'interdisent d'y aller car
elle est en https avec un certificat invalide.
Olivier Miakinen
Le #21316661
Le 04/03/2010 20:42, je répondais à Éric Masson :

je regardais cette page le we dernier :
https://www.sixxs.net/wiki/IPv6_Firewalling#Example_IPv6_firewall_script_.28with_state.29



Et tu peux toujours la regarder maintenant ? Pour moi, aussi bien
SeaMonkey que Firefox et Internet Explorer m'interdisent d'y aller car
elle est en https avec un certificat invalide.



En fait, ça marche très bien sans le « s » :

http://www.sixxs.net/wiki/IPv6_Firewalling#Example_IPv6_firewall_script_.28with_state.29

(mais je n'ai pas d'idée concernant la question posée)
Eric Masson
Le #21317141
Olivier Miakinen
'Lut,

Et tu peux toujours la regarder maintenant ? Pour moi, aussi bien
SeaMonkey que Firefox et Internet Explorer m'interdisent d'y aller car
elle est en https avec un certificat invalide.



Ben, sous FF, il suffit de lui indiquer que tu passes outre son
avertissement et d'accepter le certificat.

La page est aussi accessible ici :
http://www.sixxs.net/wiki/IPv6_Firewalling#Example_IPv6_firewall_script_.28with_state.29

--
Quelqu'un pourrait-il me passer un num^Zro d'Adult Check car je n'ai
pas envie de payer 120 balles pour voir trois ou quatre truc !


si tu ne veux pas dépenser 120F, il y a des sites de cul gratuits...
-+- L in GNU : Internet, ca coûte la peau du cul -+- FC> Même pas pour le
Pascal Hambourg
Le #21318001
Salut,

Eric Masson a écrit :

Je poste ici, mais si c'est plus approprié ailleurs, ne pas hésiter à
rediriger.



Il me semble que fcolc serait plus approprié car c'est spécifique à
Linux, mais je ne prendrai pas l'initiative de rediriger.

J'ai testé les commandes présentées dans ce script et celles ayant trait
au routing header 0 ne sont pas prises en compte et retournent
systématiquement un message du type "No chain/target/match by that name"

Les modules support ipv6 sont chargés, et la version de ip6tables
supporte les règles stateful.



Je ne vois pas bien le rapport entre routing header et conntrack.
Le noyau a-t-il été compilé avec l'option correspondante
(IP6_NF_MATCH_RT) activée, et le cas échéant le module correspondant
(ip6t_rt) est-il chargé ?
Eric Masson
Le #21331011
Pascal Hambourg
'Lut,

Il me semble que fcolc serait plus approprié car c'est spécifique à
Linux, mais je ne prendrai pas l'initiative de rediriger.



Ok.

Je ne vois pas bien le rapport entre routing header et conntrack.



C'était juste pour spécifier que la version de NetFilter était
raisonnablement récente.

Le noyau a-t-il été compilé avec l'option correspondante
(IP6_NF_MATCH_RT) activée, et le cas échéant le module correspondant
(ip6t_rt) est-il chargé ?



lsmod ne me retourne rien sur ce symbole, donc, il y a de fortes chances
que l'option ne soit pas activée.

Je vais voir si je peux reconstruire un OpenWRT 8.09.2 avec cette
option active.

Merci de ton aide.

XPost + Fu2 : fcolc

--
Connaîtriez-vous une adresse où télécharger un mail bomber ?
Ou bien si vous en avez un (assez simple), pouvez-vous me l' envoyer ?
-+- Y.G. in
Pascal Hambourg
Le #21331221
Eric Masson a écrit :
Pascal Hambourg
Je ne vois pas bien le rapport entre routing header et conntrack.



C'était juste pour spécifier que la version de NetFilter était
raisonnablement récente.



Mouais bof, la correspondance rt fait partie du noyau 2.6 depuis la
version 2.6.0 alors que le suivi de connexion IPv6 n'a été ajouté que
dans la version 2.6.15.

Le noyau a-t-il été compilé avec l'option correspondante
(IP6_NF_MATCH_RT) activée, et le cas échéant le module correspondant
(ip6t_rt) est-il chargé ?



lsmod ne me retourne rien sur ce symbole, donc, il y a de fortes chances
que l'option ne soit pas activée.



Ou bien l'option est compilée en dur, mais ça ne collerait pas avec le
message d'erreur. Les autres options de netfilter sont en modules ou en
dur ? Tu n'as pas le .config du noyau ?

Je vais voir si je peux reconstruire un OpenWRT 8.09.2 avec cette
option active.



Donc tu dois avoir un .config quelque part.
Eric Masson
Le #21331441
Pascal Hambourg
'Re,

Mouais bof, la correspondance rt fait partie du noyau 2.6 depuis la
version 2.6.0 alors que le suivi de connexion IPv6 n'a été ajouté que
dans la version 2.6.15.



Désolé, je n'étais pas au courant, j'évite de me plonger dans ce genre
de détails si je n'y suis pas obligé.

Ou bien l'option est compilée en dur, mais ça ne collerait pas avec le
message d'erreur. Les autres options de netfilter sont en modules ou en
dur ? Tu n'as pas le .config du noyau ?



Ici :
https://dev.openwrt.org/browser/branches/8.09/target/linux/brcm47xx/config-default

J'ai donc modifié config-default pour activer les CONFIG_IP6_NF_MATCH_*
sous forme de modules comme cela est le cas dans la config générique
2.6.25 :
https://dev.openwrt.org/browser/branches/8.09/target/linux/generic-2.6/config-2.6.25

J'espère juste que ces options n'avaient pas été désactivées parce
qu'elles généraient des instabilités, il me reste à demander sur les
forums OpenWRT.

Encore merci.

--
PH> Sans oublier le manque total chez l'oiseau d'angoisses
PH> métaphysiques du genre «Y-aura-t-il de la panette au RU ce midi ?»
Sauf, bien sûr, si l'oiseau en question est une dinde.
-+- MW in
Eric Masson
Le #21335111
Pascal Hambourg
'Re,

Mouais bof, la correspondance rt fait partie du noyau 2.6 depuis la
version 2.6.0 alors que le suivi de connexion IPv6 n'a été ajouté que
dans la version 2.6.15.



Désolé, je n'étais pas au courant, j'évite de me plonger dans ce genre
de détails si je n'y suis pas obligé.

Ou bien l'option est compilée en dur, mais ça ne collerait pas avec le
message d'erreur. Les autres options de netfilter sont en modules ou en
dur ? Tu n'as pas le .config du noyau ?



Ici :
https://dev.openwrt.org/browser/branches/8.09/target/linux/brcm47xx/config-default

J'ai donc modifié config-default pour activer les CONFIG_IP6_NF_MATCH_*
sous forme de modules comme cela est le cas dans la config générique
2.6.25 :
https://dev.openwrt.org/browser/branches/8.09/target/linux/generic-2.6/config-2.6.25

J'espère juste que ces options n'avaient pas été désactivées parce
qu'elles généraient des instabilités, il me reste à demander sur les
forums OpenWRT.

Après expérimentation en l'absence de réponses sur les forums dédiés, ça
génère effectivement des problèmes, avec un freeze immédiat dès le
chargement des modules.

J'ai donc récupéré une beta de Backfire et l'ai installée, il va
maintenant rester à paramétrer le tout et à tester la connexion sixxs.

Encore merci.

--
PH> Sans oublier le manque total chez l'oiseau d'angoisses
PH> métaphysiques du genre «Y-aura-t-il de la panette au RU ce midi ?»
Sauf, bien sûr, si l'oiseau en question est une dinde.
-+- MW in
Pascal Hambourg
Le #21335221
Eric Masson a écrit :
Pascal Hambourg
Ou bien l'option est compilée en dur, mais ça ne collerait pas avec le
message d'erreur. Les autres options de netfilter sont en modules ou en
dur ? Tu n'as pas le .config du noyau ?



Ici :
https://dev.openwrt.org/browser/branches/8.09/target/linux/brcm47xx/config-default



C'est tout ? Il est bien petit, on dirait qu'il en manque un gros bout.
Je ne vois même pas les autres options de netfilter.

J'ai donc modifié config-default pour activer les CONFIG_IP6_NF_MATCH_*
sous forme de modules comme cela est le cas dans la config générique
2.6.25 :
https://dev.openwrt.org/browser/branches/8.09/target/linux/generic-2.6/config-2.6.25



Celui-là a l'air plus complet.

J'espère juste que ces options n'avaient pas été désactivées parce
qu'elles généraient des instabilités



Ou bien peut-être parce qu'elle prennent de la place alors qu'elles sont
très rarement utilisées ?

Après expérimentation en l'absence de réponses sur les forums dédiés, ça
génère effectivement des problèmes, avec un freeze immédiat dès le
chargement des modules.



Le module ip6t_rt spécifiquement ?

J'ai donc récupéré une beta de Backfire



Qu'est-ce que c'est ?
Eric Masson
Le #21336381
Pascal Hambourg
'Re,

C'est tout ? Il est bien petit, on dirait qu'il en manque un gros bout.
Je ne vois même pas les autres options de netfilter.



Il s'agit de modifications locales pour les plateformes à base de
brcm47xx.

Après expérimentation en l'absence de réponses sur les forums dédiés, ça
génère effectivement des problèmes, avec un freeze immédiat dès le
chargement des modules.



Le module ip6t_rt spécifiquement ?



Suite aux modifications de config, les modules étaient bien compilés et
lors de leur installation via l'interface d'administration, et donc des
insmod correspondants, le gel du WGT était immédiat.

Je ne sais pas si c'était lié spécifiquement à ip6t_rt, mais il semble
que les options désactivées provoquaient bien des problèmes.

Qu'est-ce que c'est ?



Une version plus récente des images OpenWRT créés à l'aide du buildroot
en révision svn 19944 (c'est une beta de la prochaine release d'OpenWRT)

--
AB : (...) et encore on semble échapper aux betas :-,
LF : bah peut-être qu'ils en font plus ;-)
GG : Ils auraient embauché des types de Microsoft ?
-+- GG in Guide du Macounet Pervers : Bah oui, gros béta ! -+-
Publicité
Poster une réponse
Anonyme