iptables und kernel 2.6.25

[wranger]

Moin,

wollte gerade meinen Server per iptables absichern, musste aber feststellen, das einige Funktionen nicht mehr wie gewohnt arbeiten.

Z.B. bei der angabe des Status:

Code: Alles auswählen

funktioniert
 iptables -A INPUT -i eth0 -p TCP --sport 1024:65535 --dport 80 -s 192.168.1.0/24 -d 192.168.1.2/32 -j ACCEPT

funktioniert nicht
iptables -A INPUT -i eth0 -p TCP --sport 1024:65535 --dport 80 -s 192.168.1.0/24 -d 192.168.1.2/32 -m state --state NEW -j ACCEPT
iptables: Invalid argument

Hab dann mal in der Manpage nachgelesen

MATCH EXTENSIONS
conntrack
This module, when combined with connection tracking, allows access to the connection tracking state for this packet/connection.

[!] --ctstate statelist
statelist is a comma separated list of the connection states to match. Possible states are listed below.

States for --ctstate:

INVALID
meaning that the packet is associated with no known connection

NEW meaning that the packet has started a new connection, or otherwise associated with a c

Hört sich doch nach dem an was ich suche ...

Code: Alles auswählen

iptables -A INPUT -i eth0 -p TCP --sport 1024:65535 --dport 80 -s 192.168.1.0/24 -d 192.168.1.2/32 -m conntrack --ctstate NEW -j ACCEPT
iptables: Invalid argument

Weiss einer was da los ist? Hat einer ein paar Tipps?

System:
debian sid
kernel: 2.6.25.8
iptables: iptables v1.4.1.1

cat /proc/modules

Code: Alles auswählen

ipt_ULOG
ipt_TTL
ipt_ttl
ipt_recent
ipt_ECN
ipt_ecn
xt_connlimit
xt_connbytes
xt_CLASSIFY
xt_connmark
xt_comment
xt_CONNMARK
xt_limit
xt_iprange
xt_length
xt_multiport
xt_time
xt_tcpmss
xt_sctp
xt_conntrack

[Danielx]

Das Modul xt_state scheint nicht geladen zu sein, wird für "-m state" benötigt.

Gruß,
Daniel

[wranger]

Es war wirklich nicht geladen .... habe ich mal gemacht

Code: Alles auswählen

cat /etc/modules | grep state
xt_state

Aber nach wie vor:

Code: Alles auswählen

iptables -A INPUT -i eth0 -p TCP --sport 1024:65535 --dport 80 -s 192.168.1.0/24 -d 192.168.1.2/32 -m state --state NEW -j ACCEPT
iptables: Invalid argument

Noch jemand eine Idee?

[stinkstiefel]

Ich würde sagen das die Ausgabe iptables: Invalid argument am -d 192.168.1.2/32 liegt.

[Danielx]

Ich würde sagen das die Ausgabe iptables: Invalid argument am -d 192.168.1.2/32 liegt.

Gibt es dafür auch eine Begründung?
Denn mit "-d 192.168.1.2/32" funktioniert es ja, erst wenn "-m state --state NEW" hinzugefügt wird kommt doch die Fehlermeldung...

Noch jemand eine Idee?

Hm, xt_state sollte automatisch x_tables und nf_conntrack nachladen.
xt_state ist auch das richtige Modul, siehe "modinfo x_tables":

description: ip[6]_tables connection tracking state match module

Mir fallen dann nur noch folgende Module ein:

• xt_tcpudp
  x_tables
  nf_conntrack
  iptable_filter
  ip_tables

Gruß,
Daniel

[stinkstiefel]

Gibt es dafür auch eine Begründung?

Nö, habe das in der Form nur noch nicht gesehen wenn man etwas auf einen lokalen Prozess weiterleitet.
Ich hätte es voher wohl mal ausprobieren sollen, was ich jetzt natürlich nachgeholt habe und bei mir meckert er bei der Zeile nicht.
Dann wirds wohl doch noch an einem Modul mangeln.

[wranger]

Moin,

ersmal danke für die Antworten ...manche Sachen hab ich nicht als Module laufen so wie x_tables.

Ich habe gerade einen neuen Kernel gebaut 2.6.26.2 und werd das damit dann noch mal versuchen.

[wranger]

So ich kann einen Erfolg vermelden, es funktioniert nun!

Kernel ist: uname -r 2.6.26.2

Habe jetzt auch ziemlich viel direkt in den Kernel kompiliert und nicht als Modul. Also fast alles was mit Iptables zu tun hat.