iptables cmd-owner geht nicht mehr

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
robiwan
Beiträge: 52
Registriert: 11.07.2002 11:01:17
Kontaktdaten:

iptables cmd-owner geht nicht mehr

Beitrag von robiwan » 13.06.2007 13:28:54

Hallo Freunde,
Das iptables-Modul owner klappt bei der Option --cmd-owner nicht mehr.

Hier der iptables-Befehl::
$IPTABLES -A OUTPUT -m owner --uid-owner 500 --cmd-owner ssh -m state --state NEW -j ACCEPT

ergibt ein "iptables: Invalid argument"

Die Manpage von iptables sagt zu --cmd-owner:
Please note: This option requires kernel support that might not be available in official Linux kernel sources or Debian’s packaged Linux kernel sources. And if support for this option is available for the specific Linux kernel source version, that support might not be enabled in the current Linux kernel binary.

Meine Frage lautet:
Warum hat man diese Optionen aus dem Kernel entfernt?
Welche Alternative bietet sich an? Soll man hier den Kernel patchen damit es wieder funktioniert, oder löst man dieses Problem anderweitig, etwa mit "NuFW - An authenticating Firewall" oder so?

Vielen Dank im voraus...
Robert
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 13.06.2007 16:48:22

robiwan hat geschrieben: Warum hat man diese Optionen aus dem Kernel entfernt?
laut Changelog vom 2.6.14er wurde es als "unfixable broken" bezeichnet
robiwan hat geschrieben: Welche Alternative bietet sich an? Soll man hier den Kernel patchen damit es wieder funktioniert, oder löst man dieses Problem anderweitig, etwa mit "NuFW - An authenticating Firewall" oder so?
Als Ersatz kann das QUEUE/NFQUEUE iptables-Target dienen und alles was darauf aufsetzt ( z.B. NuFW oder http://wiki.ubuntuusers.de/Skripte/anfd). Wer nur nach einer Application-Firewall (ohne Owner-Match) sucht, kann auch das auf Basis von LSM arbeitende tuxguardian.sf.net verwenden.

Gruß
gms
Nach oben
Benutzeravatar
Hendri
Beiträge: 586
Registriert: 23.08.2003 12:17:43
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von Hendri » 15.08.2007 23:57:42

Im Kernel 2.6.18 funktioniert das Modul aber ohne Probleme!

Code: Alles auswählen

Chain OUTPUT (policy ACCEPT 404M packets, 604G bytes)
 pkts bytes target     prot opt in     out     source               destination
 1828 2744K TOSET      all  --  *      *       0.0.0.0/0            0.0.0.0/0           OWNER UID match 33
Ciao, Hendri
Nach oben
gms
Beiträge: 7798
Registriert: 26.11.2004 20:08:38
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von gms » 16.08.2007 08:16:11

Hendri hat geschrieben:Im Kernel 2.6.18 funktioniert das Modul aber ohne Probleme!

Code: Alles auswählen

 1828 2744K TOSET      all  --  *      *       0.0.0.0/0            0.0.0.0/0           OWNER UID match 33
"uid-owner" != "cmd-owner" :wink:

Gruß
gms
Nach oben
Benutzeravatar
Hendri
Beiträge: 586
Registriert: 23.08.2003 12:17:43
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von Hendri » 16.08.2007 18:31:26

Hast du recht :roll:
Ich schaute 8O nur auf den ersten match und hab den zweiten glatt übersehen...
Ciao, Hendri
Nach oben
Antworten

Zurück zu „Netzwerk“