[Gelöst] FATAL: Module ip_conntrack_ftp/irc not found.

[Cyrus XIII]

Habe mir mit Guarddog eine Firewall erstellt, zunächst auf einem vorkompilierten Kernel von Debian und danach mit einem eigenen. Die benötigten Module habe ich anhand des lsmod-Outputs des ersten Kernels nach und nach eingebaut, aber ein oder zwei fehlen offenbar noch, beim aktivieren der Firewall kommt nach wie vor diese Meldung:

Code: Alles auswählen

Using iptables.
Resetting firewall rules.
Loading kernel modules.
FATAL: Module ip_conntrack_ftp not found.
FATAL: Module ip_conntrack_irc not found.
Setting kernel parameters.
Configuring firewall rules.
Finished.

Hier der Abschnitt über Iptables aus meiner letzten Kernel-Config:

Code: Alles auswählen

#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=y
# CONFIG_IP_NF_CT_ACCT is not set
# CONFIG_IP_NF_CONNTRACK_MARK is not set
# CONFIG_IP_NF_CT_PROTO_SCTP is not set
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y
# CONFIG_IP_NF_TFTP is not set
# CONFIG_IP_NF_AMANDA is not set
# CONFIG_IP_NF_QUEUE is not set
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=y
# CONFIG_IP_NF_MATCH_IPRANGE is not set
# CONFIG_IP_NF_MATCH_MAC is not set
# CONFIG_IP_NF_MATCH_PKTTYPE is not set
# CONFIG_IP_NF_MATCH_MARK is not set
# CONFIG_IP_NF_MATCH_MULTIPORT is not set
# CONFIG_IP_NF_MATCH_TOS is not set
# CONFIG_IP_NF_MATCH_RECENT is not set
# CONFIG_IP_NF_MATCH_ECN is not set
# CONFIG_IP_NF_MATCH_DSCP is not set
# CONFIG_IP_NF_MATCH_AH_ESP is not set
# CONFIG_IP_NF_MATCH_LENGTH is not set
# CONFIG_IP_NF_MATCH_TTL is not set
# CONFIG_IP_NF_MATCH_TCPMSS is not set
# CONFIG_IP_NF_MATCH_HELPER is not set
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_MATCH_CONNTRACK=y
# CONFIG_IP_NF_MATCH_OWNER is not set
# CONFIG_IP_NF_MATCH_ADDRTYPE is not set
# CONFIG_IP_NF_MATCH_REALM is not set
# CONFIG_IP_NF_MATCH_SCTP is not set
# CONFIG_IP_NF_MATCH_COMMENT is not set
# CONFIG_IP_NF_MATCH_HASHLIMIT is not set
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
CONFIG_IP_NF_TARGET_LOG=y
# CONFIG_IP_NF_TARGET_ULOG is not set
# CONFIG_IP_NF_TARGET_TCPMSS is not set
# CONFIG_IP_NF_NAT is not set
# CONFIG_IP_NF_MANGLE is not set
# CONFIG_IP_NF_RAW is not set
# CONFIG_IP_NF_ARPTABLES is not set
CONFIG_XFRM=y
# CONFIG_XFRM_USER is not set

Weiss jemand, wovon der Bau der fehlenden Module abhägnen könnte?

[degen]

Versuch mal folgendes:

#
# IP: Netfilter Configuration
#
# CONFIG_IP_NF_CONNTRACK=y
# CONFIG_IP_NF_CT_ACCT is not set
CONFIG_IP_NF_CONNTRACK_MARK=y
# CONFIG_IP_NF_CT_PROTO_SCTP is not set
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y

[QT]

Hi!

Wenn Du die Features statisch in den Kernel einbaust statt Modul, kann man auch kein Modul laden

Da in Deiner Kernelconfig die entsprechenden Zeilen mit '=y' enden, bedeutet dies, dass der Support im Kernelimage drin ist und kein Modulfile, welches geladen werden kann, erzeugt wurde. Die Ausgabe des Scripts kannst Du getrost ignorieren. Alternativ einfach den Kernel neu konfigurieren (alles mit M als Modul markieren) und neu compilieren. Dann hast Du auch eine Moduldatei.

[Cyrus XIII]

Tatsache, mit Modulen taucht die Meldung nicht auf. Geändert habe ich die Config wie folgt:

Code: Alles auswählen

CONFIG_IP_NF_CONNTRACK=y
# CONFIG_IP_NF_CT_ACCT is not set
# CONFIG_IP_NF_CONNTRACK_MARK is not set
# CONFIG_IP_NF_CT_PROTO_SCTP is not set
CONFIG_IP_NF_FTP=m
CONFIG_IP_NF_IRC=m
...
# CONFIG_IP_NF_MATCH_CONNTRACK is not set

Aber ein wenig wundere ich mich dann doch, schließlich lädt die Firewall noch ein paar Komponenten aus dem Iptables-Bereich mehr, als nur diese beiden, Fehler werden allerdings keine ausgegeben, trotzdem sie fest einkompiliert sind. Tja, die Mysterien dieser Welt...

Ich markier es trotzdem mal als "gelöst".

[QT]

Hi! Du hättest gar keinen neuen Kernel gebraucht. Einfach nur im Startscript den/die Aufruf(e) des 'modprobe' Befehls fürs Modulladen löschen oder in einen Kommentar verwandeln

[Cyrus XIII]

Ja, nur dann müsste ich das Skript nach jeder Änderung an der Firwall (die ich wie gesagt grafisch von Guarddog erstellen lasse) nochmal manuell per Editor bearbeiten. So habe ich einmal meine Kernel-Config geändert und gut.