Kernelconfig für IPTables

Methos25 · Beitrag von **Methos25** » 26.04.2006 19:38:20

Hi,

ich habe da ein kleines Problemchen.
Hab das Forum hier auch schon dazu durchsucht, doch ich komme mit den teilweise gefundenen Lösungsansätzen nicht klar, bzw. mein Problem ist etwas Konkreter.

Ich betreibe einen 1und1 Rootie zu dem ich mir erst mal einen eigenen Kernel gebacken hab. Dazu hab ich mir natürlich die Config des bereits installierten Kernels geklaut.
In der ist aber keine Unterstüzung für IPTables vorgesehen.
Hab dann versucht, soweit durch die Config-Doc ersichtlich, alles miteinzukompilieren, und auch wenn ich nun iptables-Unterstüzung habe, wird die von mir gewünschte Configuration (die ich von einem anderen System habe) trotzdem nicht angenommen.

iptables-save:

Code: Alles auswählen

# Generated by iptables-save v1.2.11 on Wed Mar 22 16:38:33 2006
*nat
:PREROUTING ACCEPT [127016:7786832]
:POSTROUTING ACCEPT [11760:669187]
:OUTPUT ACCEPT [20835:2006777]
#COMMIT
# Completed on Wed Mar 22 16:38:33 2006
# Generated by iptables-save v1.2.11 on Wed Mar 22 16:38:33 2006
*filter
:INPUT DROP [2822:904871]
:FORWARD DROP [0:0]
:OUTPUT DROP [8890:1370497]
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -p udp -m udp --dport 6500 -j ACCEPT
-A INPUT -p udp -m udp --dport 27900 -j ACCEPT
-A INPUT -p udp -m udp --dport 28900 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8000:8001 -j ACCEPT
-A INPUT -p udp -m udp --dport 5120:5127 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 8000:8002 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 5120:5127 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
COMMIT
# Completed on Wed Mar 22 16:38:33 2006

Ich habe versucht einige der Chains manuell zu laden und dabei bemerkt dass er sich an folgendem aufhängt:

Code: Alles auswählen

s15204584:~# iptables -t filter  -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name

Ich nehme an, dass ich einfach eine wichtige Option beim Kernel-Kompilieren vergessen habe. Dementsprechend, mal ein Auszug auf meiner Kernel-Config
Weiß jemand Rat?
Ich hab von 1und1 ne Hardewarefirewall laufen, aber ich werde doch glücklich, wenn ich meine iptables wieder einsetzen könnte, vor allem wegen der output-Regeln.

KernelConfig

Code: Alles auswählen

#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_CT_ACCT=y
CONFIG_IP_NF_CONNTRACK_MARK=y
CONFIG_IP_NF_CONNTRACK_EVENTS=y
CONFIG_IP_NF_CT_PROTO_SCTP=y
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y
CONFIG_IP_NF_NETBIOS_NS=y
CONFIG_IP_NF_TFTP=y
CONFIG_IP_NF_AMANDA=y
CONFIG_IP_NF_PPTP=y
CONFIG_IP_NF_QUEUE=y
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_IPRANGE=y
CONFIG_IP_NF_MATCH_MULTIPORT=y
CONFIG_IP_NF_MATCH_TOS=y
CONFIG_IP_NF_MATCH_RECENT=y
CONFIG_IP_NF_MATCH_ECN=y
CONFIG_IP_NF_MATCH_DSCP=y
CONFIG_IP_NF_MATCH_AH_ESP=y
CONFIG_IP_NF_MATCH_TTL=y
CONFIG_IP_NF_MATCH_OWNER=y
CONFIG_IP_NF_MATCH_ADDRTYPE=y
CONFIG_IP_NF_MATCH_HASHLIMIT=y
CONFIG_IP_NF_MATCH_POLICY=y
CONFIG_IP_NF_FILTER=y
# CONFIG_IP_NF_TARGET_REJECT is not set
# CONFIG_IP_NF_TARGET_LOG is not set
# CONFIG_IP_NF_TARGET_ULOG is not set
# CONFIG_IP_NF_TARGET_TCPMSS is not set
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
# CONFIG_IP_NF_TARGET_MASQUERADE is not set
# CONFIG_IP_NF_TARGET_REDIRECT is not set
# CONFIG_IP_NF_TARGET_NETMAP is not set
# CONFIG_IP_NF_TARGET_SAME is not set
# CONFIG_IP_NF_NAT_SNMP_BASIC is not set
CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_NAT_TFTP=y
CONFIG_IP_NF_NAT_AMANDA=y
CONFIG_IP_NF_NAT_PPTP=y
# CONFIG_IP_NF_MANGLE 
# CONFIG_IP_NF_RAW is not set
# CONFIG_IP_NF_ARPTABLES is not set

gms · Beitrag von **gms** » 26.04.2006 19:48:38

welche Libraries hast du denn unter /lib/iptables. Findest du dort eine "libipt_state.so" ?

Gruß
gms

Methos25 · Beitrag von **Methos25** » 26.04.2006 19:58:31

Du scheinst es dir zur Aufgabe gemacht zu haben meine Posts zu beantworten, mh? *G*

Na jedenfalls Danke für die schnelle Antwort:

Zur Sache:

Code: Alles auswählen

s15204584:/lib# find . -name 'libipt_state*'
./iptables/libipt_state.so

Ist also da.

rendegast · Beitrag von **rendegast** » 26.04.2006 20:25:36

Was gibt denn 'iptables -L' aus?

Hast Du auch Deinen Kernel geladen und nicht den von 1und1?

gms · Beitrag von **gms** » 26.04.2006 20:35:30

Methos25 hat geschrieben: Du scheinst es dir zur Aufgabe gemacht zu haben meine Posts zu beantworten, mh? *G*

Aus deiner Sicht hast du recht

überprüfe bitte ob folgende Module geladen sind:

Code: Alles auswählen

lsmod | grep iptable_filter
lsmod | grep ip_conntrack

ansonsten diese Module mit "modprobe iptable_filter" bzw "modprobe ip_conntrack" laden

Gruß
gms

Methos25 · Beitrag von **Methos25** » 26.04.2006 21:38:51

Module?

Ich hab die Netfilte eigentlich nicht modular erstellt sondern als festen Bestandteil des Kernels kompiliert.
Der ist ohnehin nur 2.5 MB groß, da ich ja bei dem Rootie auf den ganzen Hardware-Schnick-Schack verzichen kann.

gms · Beitrag von **gms** » 26.04.2006 22:00:54

dann sollte die Datei /proc/net/ip_conntrack vorhanden sein und poste bitte "/proc/net/ip_tables_names" und "/proc/net/ip_tables_matches"
Hast du das iptables-Kommando wirklich genauso wie oben eingegeben ?

Methos25 · Beitrag von **Methos25** » 26.04.2006 22:04:44

gms hat geschrieben: Hast du das iptables-Kommando wirklich genauso wie oben eingegeben ?

Jap. Die Code-Abschnitte oben sind 1 zu 1 per Copy&Paste aus meiner Kommandozeile übernommen.

zu den Inhalten von /proc/net:
ip_conntrackt ist vorhanden.
Inhalte der anderen gewünschten Files sind:

ip_tables_names:

Code: Alles auswählen

nat
filter

ip_tables_matches:

Code: Alles auswählen

policy
addrtype
ttl
esp
ah
dscp
ecn
recent
tos
owner
multiport
multiport
iprange
hashlimit
icmp
udp
tcp

gms · Beitrag von **gms** » 26.04.2006 22:06:46

bai den matches fehlt "state" und /proc/net/ip_conntrack ist wahrscheinlich nicht vorhanden, oder ?

Methos25 · Beitrag von **Methos25** » 26.04.2006 22:07:50

gms hat geschrieben:bai den matches fehlt "state" und /proc/net/ip_conntrack ist wahrscheinlich nicht vorhanden, oder ?

ip_conntrackt ist vorhanden. Hatte nur vergessen das anzugeben und war nicht schnell genug mit dem Edit, bevor du geantwortet hast. *g*

Also aber: Wie krieg ich "state" nun da rein?
Reinschreiben hilft wohl nicht? *witz versucht* ^^

[EDT]
Ich schau mal in der Kernel-Config nach ob ich was von wegen state finde. Da musste ja immerhin auch die ganzen anderen Match-Optionen aktivieren.
[/EDT]

gms · Beitrag von **gms** » 26.04.2006 22:10:24

fehlt dir wahrscheinlich "CONFIG_NETFILTER_XT_MATCH_STATE"

Methos25 · Beitrag von **Methos25** » 27.04.2006 00:41:04

gms hat geschrieben:fehlt dir wahrscheinlich "CONFIG_NETFILTER_XT_MATCH_STATE"

Habs gefunden. War gar nicht so leicht im Menu-Config, da übersieht man ja doch mal leicht was.
Kernel ist jetzt jedenfalls schon wieder neu gebaut. Funktioniert auch alles wie es soll. *grinst gar sehr erbaut ob des Trügerischen Gefühls von Sicherheit* ^^

Ich danke jedenfalls recht herzlich für die Hilfe. Ich glaube allein hätte ich noch ewig nach der richtigen Option gesucht.