Bonjour à tous ...
J'ai installé iptables avec la dernière version : "iptables v1.2.11"
le noyau installé : 2.4.20
Dessus j'ai installé le patch...
merci à tous,
mais j'ai un problème, je n'arrive pas à utiliser le patch connlimit (sur
une autre doc dont j'ai un example, il s'appelle iplimit dans le
netfilter extensions HOWTO), voici la commande tapée avec l'erreur
renvoyée :
iptables -A INPUT -p tcp --syn --dport http -m connlimit --connlimit-above
4 -j REJECT
iptables: No chain/target/match by that name
De quelle cible s'agit-il ?
bon j'ai essayé plusieurs combinaisons
et rien à faire. Ce match connlimit me semble très interessant et il
serait dommage de ne pas l'utiliser !!!
Le patch (patch-o-matic) en question fonctionne car d'autres match comme
"ttl" peuvent être utilisé.
Par contre, j'ai une piste, serait-ce la bonne, dans le répertoire
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ le fichier "connlimit.o"
n'existe pas, est-ce le problème ?
Si oui, comment le réinjecter ?
sachant aussi que :
iptables -m connlimit --help fonctionne correctement
J'ai regardé dans le menuconfig et le match en question est présent avec
l'option <M> donc cela est correct.
Merci à tous de m'aider
Bonjour à tous ...
J'ai installé iptables avec la dernière version : "iptables v1.2.11"
le noyau installé : 2.4.20
Dessus j'ai installé le patch...
merci à tous,
mais j'ai un problème, je n'arrive pas à utiliser le patch connlimit (sur
une autre doc dont j'ai un example, il s'appelle iplimit dans le
netfilter extensions HOWTO), voici la commande tapée avec l'erreur
renvoyée :
iptables -A INPUT -p tcp --syn --dport http -m connlimit --connlimit-above
4 -j REJECT
iptables: No chain/target/match by that name
De quelle cible s'agit-il ?
bon j'ai essayé plusieurs combinaisons
et rien à faire. Ce match connlimit me semble très interessant et il
serait dommage de ne pas l'utiliser !!!
Le patch (patch-o-matic) en question fonctionne car d'autres match comme
"ttl" peuvent être utilisé.
Par contre, j'ai une piste, serait-ce la bonne, dans le répertoire
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ le fichier "connlimit.o"
n'existe pas, est-ce le problème ?
Si oui, comment le réinjecter ?
sachant aussi que :
iptables -m connlimit --help fonctionne correctement
J'ai regardé dans le menuconfig et le match en question est présent avec
l'option <M> donc cela est correct.
Merci à tous de m'aider
Bonjour à tous ...
J'ai installé iptables avec la dernière version : "iptables v1.2.11"
le noyau installé : 2.4.20
Dessus j'ai installé le patch...
merci à tous,
mais j'ai un problème, je n'arrive pas à utiliser le patch connlimit (sur
une autre doc dont j'ai un example, il s'appelle iplimit dans le
netfilter extensions HOWTO), voici la commande tapée avec l'erreur
renvoyée :
iptables -A INPUT -p tcp --syn --dport http -m connlimit --connlimit-above
4 -j REJECT
iptables: No chain/target/match by that name
De quelle cible s'agit-il ?
bon j'ai essayé plusieurs combinaisons
et rien à faire. Ce match connlimit me semble très interessant et il
serait dommage de ne pas l'utiliser !!!
Le patch (patch-o-matic) en question fonctionne car d'autres match comme
"ttl" peuvent être utilisé.
Par contre, j'ai une piste, serait-ce la bonne, dans le répertoire
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ le fichier "connlimit.o"
n'existe pas, est-ce le problème ?
Si oui, comment le réinjecter ?
sachant aussi que :
iptables -m connlimit --help fonctionne correctement
J'ai regardé dans le menuconfig et le match en question est présent avec
l'option <M> donc cela est correct.
Merci à tous de m'aider
Dans le message <news:421122d8$0$829$,
*2alrick2* tapota sur f.c.o.l.configuration :Bonjour à tous ...
Bonsoir,J'ai installé iptables avec la dernière version : "iptables v1.2.11"
La dernière version de iptables est la 1.3.0.le noyau installé : 2.4.20
Sources vanilla ?Dessus j'ai installé le patch...
Quel patche ? Je devine patch-o-matic d'après l'objet de votre message.
Dans ce cas, quelle version de POM avez-vous utilisé ? Quel niveau
d'installation de POM avez-vous effectué ? Et quelles extensions ont été
rajoutées, en sachant que certaines d'entre elles sont incompatibles
avec d'autres ?merci à tous,
De rien, mais on n'a encore rien fait pour vous. ;-)mais j'ai un problème, je n'arrive pas à utiliser le patch connlimit (sur
une autre doc dont j'ai un example, il s'appelle iplimit dans le
netfilter extensions HOWTO), voici la commande tapée avec l'erreur
renvoyée :iptables -A INPUT -p tcp --syn --dport http -m connlimit
--connlimit-above 4 -j REJECT
iptables: No chain/target/match by that name
De quelle cible s'agit-il ?
Je vous suggère de bien lire la documentation de iptables/Netfilter
avant de vous aventurer dans des règles utilisant des extensions exotiques.
En effet, construire une règle iptables sans savoir ce qu'est la chaîne
ou la cible, ça risque de ne pas aboutir à grand chose. ;-)
Ici, dans votre règle, il n'y a qu'une cible, c'est REJECT.
man iptables
-A, --append chain rule-specification
-j, --jump target
etc.
Donc l'erreur peut venir du fait que la chaîne INPUT n'existe pas, très
improbable, que la cible REJECT n'existe pas, possible, ou que le match
connlimit n'existe pas, probable.bon j'ai essayé plusieurs combinaisons
Lesquelles ?et rien à faire. Ce match connlimit me semble très interessant et il
serait dommage de ne pas l'utiliser !!!
Tout dépend de ce que vous comptez en faire et de vos besoins.Le patch (patch-o-matic) en question fonctionne car d'autres match
comme "ttl" peuvent être utilisé.
Le match ttl est déjà présent en standard dans le noyau 2.4.20 et n'a
donc pas été ajouté par POM (en supposant que celui-ci ait été installé
comme il faut).Par contre, j'ai une piste, serait-ce la bonne, dans le répertoire
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ le fichier
"connlimit.o" n'existe pas, est-ce le problème ?
Le nom du fichier du module correspondant au match connlimit se nomme
non pas 'connlimit.o' mais 'ipt_connlimit.o'. Si ce fichier est présent,
vérifiez, avec la commande 'lsmod', que le module en question est bien
chargé automatiquement (généralement) ou manuellement.Si oui, comment le réinjecter ?
Que voulez-vous dire ?sachant aussi que :
iptables -m connlimit --help fonctionne correctement
Ceci indique juste que la commande 'iptables' a été compilé avec le
support du match connlimit.J'ai regardé dans le menuconfig et le match en question est présent
avec l'option <M> donc cela est correct.
Mais avez recompilez et installez le nouveau noyau et les nouveaux
modules ?
Vous nous dites rien sur la procédure exacte que vous avez utilisez pour
mettre en place tout ceci.
L'installation de POM n'est pas une mince affaire et le résultat final
n'est pas garanti. Faut bien garder à l'esprit que POM réunit un
ensemble de patches dont la plupart sont expérimentaux, développés pour
certaines versions de noyaux et pas d'autres.
En attendant il faudrait nous en dire plus sur la configuration du noyau
qui tourne actuellement, par exemple en nous donnant le résultat de la
commande suivante :
$ grep -A3 -B3 IP_NF /boot/config
et aussi nous détailler un peu plus ce que vous avez fait en répondant
aux différentes questions posées dans cette réponse.Merci à tous de m'aider
De rien.
Dans le message <news:421122d8$0$829$8fcfb975@news.wanadoo.fr>,
*2alrick2* tapota sur f.c.o.l.configuration :
Bonjour à tous ...
Bonsoir,
J'ai installé iptables avec la dernière version : "iptables v1.2.11"
La dernière version de iptables est la 1.3.0.
le noyau installé : 2.4.20
Sources vanilla ?
Dessus j'ai installé le patch...
Quel patche ? Je devine patch-o-matic d'après l'objet de votre message.
Dans ce cas, quelle version de POM avez-vous utilisé ? Quel niveau
d'installation de POM avez-vous effectué ? Et quelles extensions ont été
rajoutées, en sachant que certaines d'entre elles sont incompatibles
avec d'autres ?
merci à tous,
De rien, mais on n'a encore rien fait pour vous. ;-)
mais j'ai un problème, je n'arrive pas à utiliser le patch connlimit (sur
une autre doc dont j'ai un example, il s'appelle iplimit dans le
netfilter extensions HOWTO), voici la commande tapée avec l'erreur
renvoyée :
iptables -A INPUT -p tcp --syn --dport http -m connlimit
--connlimit-above 4 -j REJECT
iptables: No chain/target/match by that name
De quelle cible s'agit-il ?
Je vous suggère de bien lire la documentation de iptables/Netfilter
avant de vous aventurer dans des règles utilisant des extensions exotiques.
En effet, construire une règle iptables sans savoir ce qu'est la chaîne
ou la cible, ça risque de ne pas aboutir à grand chose. ;-)
Ici, dans votre règle, il n'y a qu'une cible, c'est REJECT.
man iptables
-A, --append chain rule-specification
-j, --jump target
etc.
Donc l'erreur peut venir du fait que la chaîne INPUT n'existe pas, très
improbable, que la cible REJECT n'existe pas, possible, ou que le match
connlimit n'existe pas, probable.
bon j'ai essayé plusieurs combinaisons
Lesquelles ?
et rien à faire. Ce match connlimit me semble très interessant et il
serait dommage de ne pas l'utiliser !!!
Tout dépend de ce que vous comptez en faire et de vos besoins.
Le patch (patch-o-matic) en question fonctionne car d'autres match
comme "ttl" peuvent être utilisé.
Le match ttl est déjà présent en standard dans le noyau 2.4.20 et n'a
donc pas été ajouté par POM (en supposant que celui-ci ait été installé
comme il faut).
Par contre, j'ai une piste, serait-ce la bonne, dans le répertoire
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ le fichier
"connlimit.o" n'existe pas, est-ce le problème ?
Le nom du fichier du module correspondant au match connlimit se nomme
non pas 'connlimit.o' mais 'ipt_connlimit.o'. Si ce fichier est présent,
vérifiez, avec la commande 'lsmod', que le module en question est bien
chargé automatiquement (généralement) ou manuellement.
Si oui, comment le réinjecter ?
Que voulez-vous dire ?
sachant aussi que :
iptables -m connlimit --help fonctionne correctement
Ceci indique juste que la commande 'iptables' a été compilé avec le
support du match connlimit.
J'ai regardé dans le menuconfig et le match en question est présent
avec l'option <M> donc cela est correct.
Mais avez recompilez et installez le nouveau noyau et les nouveaux
modules ?
Vous nous dites rien sur la procédure exacte que vous avez utilisez pour
mettre en place tout ceci.
L'installation de POM n'est pas une mince affaire et le résultat final
n'est pas garanti. Faut bien garder à l'esprit que POM réunit un
ensemble de patches dont la plupart sont expérimentaux, développés pour
certaines versions de noyaux et pas d'autres.
En attendant il faudrait nous en dire plus sur la configuration du noyau
qui tourne actuellement, par exemple en nous donnant le résultat de la
commande suivante :
$ grep -A3 -B3 IP_NF /boot/config
et aussi nous détailler un peu plus ce que vous avez fait en répondant
aux différentes questions posées dans cette réponse.
Merci à tous de m'aider
De rien.
Dans le message <news:421122d8$0$829$,
*2alrick2* tapota sur f.c.o.l.configuration :Bonjour à tous ...
Bonsoir,J'ai installé iptables avec la dernière version : "iptables v1.2.11"
La dernière version de iptables est la 1.3.0.le noyau installé : 2.4.20
Sources vanilla ?Dessus j'ai installé le patch...
Quel patche ? Je devine patch-o-matic d'après l'objet de votre message.
Dans ce cas, quelle version de POM avez-vous utilisé ? Quel niveau
d'installation de POM avez-vous effectué ? Et quelles extensions ont été
rajoutées, en sachant que certaines d'entre elles sont incompatibles
avec d'autres ?merci à tous,
De rien, mais on n'a encore rien fait pour vous. ;-)mais j'ai un problème, je n'arrive pas à utiliser le patch connlimit (sur
une autre doc dont j'ai un example, il s'appelle iplimit dans le
netfilter extensions HOWTO), voici la commande tapée avec l'erreur
renvoyée :iptables -A INPUT -p tcp --syn --dport http -m connlimit
--connlimit-above 4 -j REJECT
iptables: No chain/target/match by that name
De quelle cible s'agit-il ?
Je vous suggère de bien lire la documentation de iptables/Netfilter
avant de vous aventurer dans des règles utilisant des extensions exotiques.
En effet, construire une règle iptables sans savoir ce qu'est la chaîne
ou la cible, ça risque de ne pas aboutir à grand chose. ;-)
Ici, dans votre règle, il n'y a qu'une cible, c'est REJECT.
man iptables
-A, --append chain rule-specification
-j, --jump target
etc.
Donc l'erreur peut venir du fait que la chaîne INPUT n'existe pas, très
improbable, que la cible REJECT n'existe pas, possible, ou que le match
connlimit n'existe pas, probable.bon j'ai essayé plusieurs combinaisons
Lesquelles ?et rien à faire. Ce match connlimit me semble très interessant et il
serait dommage de ne pas l'utiliser !!!
Tout dépend de ce que vous comptez en faire et de vos besoins.Le patch (patch-o-matic) en question fonctionne car d'autres match
comme "ttl" peuvent être utilisé.
Le match ttl est déjà présent en standard dans le noyau 2.4.20 et n'a
donc pas été ajouté par POM (en supposant que celui-ci ait été installé
comme il faut).Par contre, j'ai une piste, serait-ce la bonne, dans le répertoire
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ le fichier
"connlimit.o" n'existe pas, est-ce le problème ?
Le nom du fichier du module correspondant au match connlimit se nomme
non pas 'connlimit.o' mais 'ipt_connlimit.o'. Si ce fichier est présent,
vérifiez, avec la commande 'lsmod', que le module en question est bien
chargé automatiquement (généralement) ou manuellement.Si oui, comment le réinjecter ?
Que voulez-vous dire ?sachant aussi que :
iptables -m connlimit --help fonctionne correctement
Ceci indique juste que la commande 'iptables' a été compilé avec le
support du match connlimit.J'ai regardé dans le menuconfig et le match en question est présent
avec l'option <M> donc cela est correct.
Mais avez recompilez et installez le nouveau noyau et les nouveaux
modules ?
Vous nous dites rien sur la procédure exacte que vous avez utilisez pour
mettre en place tout ceci.
L'installation de POM n'est pas une mince affaire et le résultat final
n'est pas garanti. Faut bien garder à l'esprit que POM réunit un
ensemble de patches dont la plupart sont expérimentaux, développés pour
certaines versions de noyaux et pas d'autres.
En attendant il faudrait nous en dire plus sur la configuration du noyau
qui tourne actuellement, par exemple en nous donnant le résultat de la
commande suivante :
$ grep -A3 -B3 IP_NF /boot/config
et aussi nous détailler un peu plus ce que vous avez fait en répondant
aux différentes questions posées dans cette réponse.Merci à tous de m'aider
De rien.
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install
et c'est tout.
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install
et c'est tout.
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install
et c'est tout.
Bonsoir,
Je reviens après avoir essayer de reprendre tout à zéro et je ne trouve
pas je réponds donc aux questions posés :
La version iptables est bien v1.2.11
J'ai installé une redhat 9.0 la version du noyau 2.4.20-8
Le patch que je souhaite installer est bien le patch-o-matic :-)
la version, je ne la connais pas nouvellement téléchargée.
Feb 16 18:47:03 comanche modprobe: modprobe: Can't locate module
ipt_connlimit
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install et c'est tout.
#
# IP: Netfilter Configuration
#
[...]
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_UNCLEAN=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
Bonsoir,
Je reviens après avoir essayer de reprendre tout à zéro et je ne trouve
pas je réponds donc aux questions posés :
La version iptables est bien v1.2.11
J'ai installé une redhat 9.0 la version du noyau 2.4.20-8
Le patch que je souhaite installer est bien le patch-o-matic :-)
la version, je ne la connais pas nouvellement téléchargée.
Feb 16 18:47:03 comanche modprobe: modprobe: Can't locate module
ipt_connlimit
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install et c'est tout.
#
# IP: Netfilter Configuration
#
[...]
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_UNCLEAN=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
Bonsoir,
Je reviens après avoir essayer de reprendre tout à zéro et je ne trouve
pas je réponds donc aux questions posés :
La version iptables est bien v1.2.11
J'ai installé une redhat 9.0 la version du noyau 2.4.20-8
Le patch que je souhaite installer est bien le patch-o-matic :-)
la version, je ne la connais pas nouvellement téléchargée.
Feb 16 18:47:03 comanche modprobe: modprobe: Can't locate module
ipt_connlimit
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install et c'est tout.
#
# IP: Netfilter Configuration
#
[...]
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_UNCLEAN=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
Voir la remarque de Pascal qui peut avoir son importance. Pour repartir
avec des sources propres, faites une eventuelle sauvegarde du fichier
.config et :
make mrproper
cp <...>/.config .config
make oldconfig
make menuconfig
make dep
Voir la remarque de Pascal qui peut avoir son importance. Pour repartir
avec des sources propres, faites une eventuelle sauvegarde du fichier
.config et :
make mrproper
cp <...>/.config .config
make oldconfig
make menuconfig
make dep
Voir la remarque de Pascal qui peut avoir son importance. Pour repartir
avec des sources propres, faites une eventuelle sauvegarde du fichier
.config et :
make mrproper
cp <...>/.config .config
make oldconfig
make menuconfig
make dep
Salut,
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install
D'après la doc "make menuconfig" vient en premier, avant "make dep". Je
ne sais pas si cet ordre est obligatoire, j'utilise la méthode Debian
avec make-kpkg qui simplifie bien les choses.et c'est tout.
As-tu installé le nouveau kernel dans /boot ? As-tu mis à jour la
configuration du bootloader (lilo ou autre) pour qu'il soit pris en
compte ? As-tu redémarré sur le nouveau noyau ?
Salut,
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install
D'après la doc "make menuconfig" vient en premier, avant "make dep". Je
ne sais pas si cet ordre est obligatoire, j'utilise la méthode Debian
avec make-kpkg qui simplifie bien les choses.
et c'est tout.
As-tu installé le nouveau kernel dans /boot ? As-tu mis à jour la
configuration du bootloader (lilo ou autre) pour qu'il soit pris en
compte ? As-tu redémarré sur le nouveau noyau ?
Salut,
Concernant le noyau celui-ci a été recompilé
make dep ; make clean ; make menuconfig (avec l'ajout en module de mon
fameux connlimit) ; make ; make bzImage ; make modules et enfin make
modules_install
D'après la doc "make menuconfig" vient en premier, avant "make dep". Je
ne sais pas si cet ordre est obligatoire, j'utilise la méthode Debian
avec make-kpkg qui simplifie bien les choses.et c'est tout.
As-tu installé le nouveau kernel dans /boot ? As-tu mis à jour la
configuration du bootloader (lilo ou autre) pour qu'il soit pris en
compte ? As-tu redémarré sur le nouveau noyau ?
