Problem mit iptables-Modul owner

Smile · Beitrag von **Smile** » 08.05.2007 00:29:39

Hallo!

Ich habe ein Problem mit iptables:

Ich möchte mit ipTables Regeln erstellen, die auf Pakete, die von einem bekanntem Prozess kommen, reagieren.
Folgendes wär also angebracht:

Code: Alles auswählen

iptables -A [kette] -m owner --cmd-owner "prozess-name" [...]

Funzt aber nicht, als Ausgabe bekomme ich folgendes:

Code: Alles auswählen

iptables: Invalid argument

In der Man-Page steht folgendes:

(Please note: This option requires kernel support that might not be available in official Linux kernel sources or Debian’s packaged Linux
kernel sources. And if support for this option is available for the specific Linux kernel source version, that support might not be
enabled in the current Linux kernel binary.)

Ich schließe also darauf, das ich diese Unterstützung nicht habe. Wie aktiviere ich sie? Das wär für mich echt hilfreich.

Ich fahre hier debian/Etch i386, Kernel 2.6.18 (unmodifiziert), ipTables Version 1.3.6.

(Vielleicht sollte ich noch sagen, das ich noch nicht lange mit Linux zu tun habe, sprich ziemlich wenig Erfahrung habe

)

gms · Beitrag von **gms** » 09.05.2007 09:28:19

Willkommen im Forum!

Ich habe hier zwar einen 2.6.21er Kernel, aber wahrscheinlich wurde der Support für diese Regeln schon seit längerer Zeit eingestellt. Du kannst das selber mittels "dmesg" testen:

Code: Alles auswählen

root@gms4:~# rmmod ipt_owner
ERROR: Module ipt_owner does not exist in /proc/modules
root@gms4:~# dmesg -c >/dev/null
root@gms4:~# modprobe ipt_owner
Try `iptables -h' or 'iptables --help' for more information.
root@gms4:~# iptables -A OUTPUT -m owner --cmd-owner opera -j ACCEPT
iptables: Invalid argument
root@gms4:~# dmesg
ipt_owner: pid, sid and command matching not supported anymore

Das Filtern nach "uid" bzw "gid" sollte noch funktionieren, möglicherweise findest du noch irgendwo ( z.B. auf der netfilter-Homepage ) einen Kernelpatch, der die anderen Filterkriterien auch wieder zum Leben erwecken kann.

Gruß
gms

Smile · Beitrag von **Smile** » 09.05.2007 17:38:34

Das Filtern nach gid und uid ist aber nich das, was ich brauche... Damit könnte ich überprüfen, ob ein Paket von Benutzer foo kommt oder nicht. Ich möchte Regeln für bestimmte Prozesse erstellen.

Ich hab mich mal auf netfilter.org umgeschaut. Das einzige, was brauchbar aussah, war ein gewisses "patch-o-matic-ng", ein Patch für das owner Modul ist da aber soweit ich sehe nicht drinn.

Gibt es für owner vielleicht noch Alternativen?

gms · Beitrag von **gms** » 09.05.2007 22:09:17

Smile hat geschrieben:Gibt es für owner vielleicht noch Alternativen?

über QUEUE/NFQUEUE kannst du im Prinzip alle möglichen Filterkriterien im Userspace verwirklichen

vielleicht ist auch nufw etwas für dich

http://www.nufw.org/-English-.html

Gruß
gms

thorben · Beitrag von **thorben** » 10.05.2007 15:13:23

moin,
@gms: das klingt interessant, hat du das nufw im einsatz? wie sind deine erfahrungen?

gruß
thorben

Smile · Beitrag von **Smile** » 10.05.2007 17:43:37

So,

nufw hab ich mir jetzt noch nicht angeschaut, hab aber n kleines perl-script für iptables und QUEUE gefunden (http://wiki.ubuntuusers.de/Skripte/anfd) das genau das zu machen scheint, was ich gesucht habe.

Hab's getestet, funzt

@gms: Danke für deine Hilfe!