Kernel 3.x und xtable

[DAS-ICH]

Hi

ich bin mir nicht ganz sicher ob dies hier rein gehört, aber da es mit dem Kernelsprung von 2.6.x auf 3.x zu tun hat, denke ich schon.

Also folgendes, wenn shorrwall mittels /etc/init.d/shorewall start starten lasse scheint alles in Ordnung zu sein, ausser das in den logs dann das hier steht.
[ 274.199677] xt_set: Unknown symbol ip_set_add (err 0)
[ 274.199709] xt_set: Unknown symbol ip_set_test (err 0)
[ 274.199740] xt_set: Unknown symbol ip_set_del (err 0)
[ 274.199761] xt_set: Unknown symbol ip_set_nfnl_put (err 0)
[ 274.199790] xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
[ 274.457764] xt_set: Unknown symbol ip_set_add (err 0)
[ 274.457801] xt_set: Unknown symbol ip_set_test (err 0)
[ 274.457858] xt_set: Unknown symbol ip_set_del (err 0)
[ 274.457882] xt_set: Unknown symbol ip_set_nfnl_put (err 0)
[ 274.457916] xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
[ 444.397494] xt_set: Unknown symbol ip_set_add (err 0)
[ 444.397526] xt_set: Unknown symbol ip_set_test (err 0)
[ 444.397560] xt_set: Unknown symbol ip_set_del (err 0)
[ 444.397581] xt_set: Unknown symbol ip_set_nfnl_put (err 0)
[ 444.397610] xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
[ 444.645304] xt_set: Unknown symbol ip_set_add (err 0)
[ 444.645337] xt_set: Unknown symbol ip_set_test (err 0)
[ 444.645368] xt_set: Unknown symbol ip_set_del (err 0)
[ 444.645389] xt_set: Unknown symbol ip_set_nfnl_put (err 0)
[ 444.645419] xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
Beim 2.6.39er Kernel geschieht das nicht.

Die Module für die beiden Kernel werden mit dem Paket xtables-addons-dkms erstellt und da läuft alles ohne Fehlermeldung durch.

Hat einer ne Idee was das sein kann??

MfG

[rendegast]

Sind die Module auch wirklich vorhanden?

Code: Alles auswählen

dkms status

Kleiner typo in compiler.pl von wheezy und sid, 4.4.24.1 und 4.4.25.1?

options are:
[ --export ]
[ --directory=<directory> ]
[ --verbose={-1|0-2} ]
[ --timestamp ]
[ --debug ]
[ --confess ]
[ --refresh=<chainlist> ]
[ --log=<filename> ]
[ --log-verbose={-1|0-2} ]
[ --test ]
[ --preview ]
[ --family={4|6} ]
[ --annotate ]
[ --updatee ]

[DAS-ICH]

HI

dkms-status gibt das aus

xtables-addons, 1.37, 2.6.39-2-amd64, amd64: installed
xtables-addons, 1.37, 3.1.0-1-amd64, amd64: installed

also alles ok, was das installieren angeht.

selbst lsmod führt die Module auf.

MfG

[rendegast]

Existieren dann auch 38 Module in updates/dkms/ ?

compat_xtables.ko
ip6table_rawpost.ko
ip_set.ko
ip_set_iphash.ko
ip_set_ipmap.ko
ip_set_ipporthash.ko
ip_set_ipportiphash.ko
ip_set_ipportnethash.ko
ip_set_iptree.ko
ip_set_iptreemap.ko
ip_set_macipmap.ko
ip_set_nethash.ko
ip_set_portmap.ko
ip_set_setlist.ko
ipt_SET.ko
ipt_set.ko
iptable_rawpost.ko
...
xt_ACCOUNT.ko
xt_CHAOS.ko
xt_DELUDE.ko
xt_DHCPMAC.ko
xt_IPMARK.ko
xt_LOGMARK.ko
xt_RAWNAT.ko
xt_STEAL.ko
xt_SYSRQ.ko
xt_TARPIT.ko
xt_condition.ko
xt_fuzzy.ko
xt_geoip.ko
xt_iface.ko
xt_ipp2p.ko
xt_ipv4options.ko
xt_length2.ko
xt_lscan.ko
xt_pknock.ko
xt_psd.ko
xt_quota2.ko

Code: Alles auswählen

$ /usr/sbin/dkms status
...
xtables-addons, 1.37, 2.6.39-bpo.2-686-pae, i686: installed 
xtables-addons, 1.37, 3.0.4, i386: installed 

Beachte: beim 3.0.4 (unter 3.0.4) wurde i386 erkannt, obwohl eigentlich i686,
unter dem 2.6.39 wird i686 gebaut und installiert.
Um das i386 da wegzubekommen, muß dkms dann noch Parameter '-a i386' beigegeben werden.


Beim kompletten (optionslosen) Laden der Module (kernel 2.6.39-bpo.2-686-pae) bekomme ich nur:

Code: Alles auswählen

[   30.452204] NVRM: loading NVIDIA UNIX x86 Kernel Module  280.13  Wed Jul 27 16:55:43 PDT 2011
[  437.272265] ip6_tables: (C) 2000-2006 Netfilter Core Team
[  437.298050] ip_set version 4 loaded
[  437.502604] ip_tables: (C) 2000-2006 Netfilter Core Team
[  437.549932] xt_CHAOS: Error: Could not find or load "tcp" match
[  437.686459] padlock_sha: VIA PadLock Hash Engine not detected.
[  437.910150] padlock_sha: VIA PadLock Hash Engine not detected.
[  512.367804] xt_CHAOS: Error: Could not find or load "tcp" match

dito messages und syslog (2 aufeinander folgene Ladedurchläufe).
37 der Module werden geladen (nur xt_CHAOS ob der Vorraussetzungen nicht).
lsmod:

Code: Alles auswählen

xt_quota2              12555  0 
xt_psd                 53353  0 
sha256_generic         16709  1 
hmac                   12649  2 
xt_pknock              12781  0 
cn                     12797  1 xt_pknock
xt_lscan               12422  0 
xt_length2             12487  0 
xt_ipv4options         12403  0 
xt_ipp2p               13025  0 
xt_iface               12400  0 
xt_geoip               12533  0 
xt_fuzzy               12422  0 
xt_condition           12544  0 
xt_TARPIT              12420  0 
sha1_generic           12511  2 
xt_SYSRQ               12508  0 
xt_STEAL               12391  0 
xt_RAWNAT              12670  0 
xt_LOGMARK             12428  0 
xt_IPMARK              12453  0 
xt_DHCPMAC             12419  0 
xt_DELUDE              12393  0 
xt_ACCOUNT             12784  0 
iptable_rawpost        12405  0 
ip_tables              16998  1 iptable_rawpost
ipt_set                12440  0 
ipt_SET                12439  0 
ip_set_setlist         12756  0 
ip_set_portmap         12781  0 
ip_set_nethash         13018  0 
ip_set_macipmap        12798  0 
ip_set_iptreemap       17064  0 
ip_set_iptree          12851  0 
ip_set_ipportnethash    13148  0 
ip_set_ipportiphash    13063  0 
ip_set_ipporthash      13033  0 
ip_set_ipmap           12730  0 
ip_set_iphash          12939  0 
ip_set                 17337  24 ipt_set,ipt_SET,ip_set_setlist,ip_set_portmap,ip_set_nethash,ip_set_macipmap,ip_set_iptreemap,ip_set_iptree,ip_set_ipportnethash,ip_set_ipportiphash,ip_set_ipporthash,ip_set_ipmap,ip_set_iphash
ip6table_rawpost       12405  0 
ip6_tables             17069  4 xt_length2,xt_SYSRQ,xt_RAWNAT,ip6table_rawpost
compat_xtables         12636  11 xt_ipp2p,xt_TARPIT,xt_SYSRQ,xt_STEAL,xt_RAWNAT,xt_LOGMARK,xt_IPMARK,xt_DHCPMAC,xt_DELUDE,xt_ACCOUNT,ipt_SET
x_tables               17969  16 xt_quota2,xt_psd,xt_pknock,xt_lscan,xt_length2,xt_ipv4options,xt_ipp2p,xt_iface,xt_geoip,xt_fuzzy,xt_condition,xt_DHCPMAC,ip_tables,ipt_set,ip6_tables,compat_xtables

Eventuell fehlen beim Starten von shorewall unter 2.6.39 einfach noch entsprechende Module?

Ob des Kernel 3.1 ist wohl der gcc-4.6 auf dem System
(auch 4.5 wegen des eventuellen vorherigen Kernels 3.0 ? ),
und die Module für den 2.6.39 sind dann mit dem gcc-4.5 / gcc-4.6 gebaut worden?
Bei mir ist nur gcc-4.4 vorhanden, gcc-4.5 und Folgepakete sind verboten
(was bis jetzt mit nvidia / virtualbox und kernel3 auch funktioniert, s.u.).






---------------------------------
Nebenbei,
für den auch vorhandenen 3.0.0-1-686-pae braucht es bei meinen Vorraussetzungen eine angepaßte dkms.conf:

Code: Alles auswählen

...
CLEAN="make -C ${KSRC} M=${PSRC} XA_ABSTOPSRCDIR=${PSRC} clean"
MAKE="make -C ${KSRC} M=${PSRC} XA_ABSTOPSRCDIR=${PSRC} modules ; \
      find ${PSRC} -name '*.ko' -exec mv {} ${PDEST} \;"


# 201111, gcc-4.4 statt gcc-4.5 unter squeeze
MAKE[1]="make -C ${KSRC} M=${PSRC} XA_ABSTOPSRCDIR=${PSRC} modules   CC=gcc-4.4 ; \
      find ${PSRC} -name '*.ko' -exec mv {} ${PDEST} \;"
MAKE_MATCH[1]="3\.[0-9]\.[0-9]-.*-686-pae"

MAKE[2]="make -C ${KSRC} M=${PSRC} XA_ABSTOPSRCDIR=${PSRC} modules   CC=gcc-4.4 ; \
      find ${PSRC} -name '*.ko' -exec mv {} ${PDEST} \;"
MAKE_MATCH[2]="3\.[0-9]\.[0-9]-.*-amd64"

...

und damit:

Code: Alles auswählen

# dkms status
...
xtables-addons, 1.37, 3.0.0-1-686-pae, i686: installed 
xtables-addons, 1.37, 2.6.39-bpo.2-686-pae, i686: installed 
xtables-addons, 1.37, 3.0.4, i686: installed 

[DAS-ICH]

Hi

Ich habe alle 38 Module installiert, wenn ich diese dann lade habe ich als dmesg-Ausgabe nur

ip_set version 4 loaded

Starte ich dann nach dem Laden shorewall kommen oben beschriebene Meldungen.
Habe auch alle Module manuell entladen und shorewall dann gestertet, so dass shorewall die Module läd, gleiche Meldungen.

Danach habe ich dann wie du die dkms.conf angepasst, mit dem Unterschied, das ich nur den amd64-Eintrag genommen habe und gcc-4.6 Version ausgewählt, da die Kernel-Headers vom 3er-Kernel gcc4.6 verlangt.

Gleiche Ergebniss.

Dann habe ich die dkms.conf auch noch mit gcc4.4 versucht, auch keine Änderung es wird immernoch

xt_set: Unknown symbol ip_set_add (err 0)
xt_set: Unknown symbol ip_set_test (err 0)
xt_set: Unknown symbol ip_set_del (err 0)
xt_set: Unknown symbol ip_set_nfnl_put (err 0)
xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
xt_set: Unknown symbol ip_set_add (err 0)
xt_set: Unknown symbol ip_set_test (err 0)
xt_set: Unknown symbol ip_set_del (err 0)
xt_set: Unknown symbol ip_set_nfnl_put (err 0)
xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)

angezeigt.

Haste vielleicht noch ne Idee, vielleicht liegts ja auch nur am AMD-Kernel.

MfG

[rendegast]

Danach habe ich dann wie du die dkms.conf angepasst, mit dem Unterschied, das ich nur den amd64-Eintrag genommen habe und gcc-4.6 Version ausgewählt, da die Kernel-Headers vom 3er-Kernel gcc4.6 verlangt.
...
Dann habe ich die dkms.conf auch noch mit gcc4.4 versucht,

Die dkms-Skripte wählen (normalerweise) den Kernel-gcc fürs Bauen
(-> sonst entsprechende Fehlermeldung oder einfacher Abbruch).
In meinem Fall schleppt mir der gcc-4.5 (für den debian-3er) zuviel ins squeeze-System, daher verzichte ich darauf.
Ich muß dann aber dkms auf den vorhandenen gcc-4.4 (=Kernel-gcc des 2.6.39-bpo) umbiegen.

Da bei Dir wohl gcc-4.4 (für den debian-2.6.39?) und gcc-4.6 (für den 3.1er) vorhanden sind,
ist eine Änderung der dkms.conf wie bei mir unnötig.
(Du hast ja bis jetzt wohl auch keine dementsprechende Fehlermeldung bekommen)


Vielleicht ist das ja auch ein Fehler von shorewall?
(Das habe ich bis jetzt noch nicht versucht)

[DAS-ICH]

Hi

einen Abbruch beim erstellen der Module hatte ich noch nicht, vielleicht liegts ja wirklich an shorwall, oder, was ich denke, an xtable, da es schon recht lange keine aktualisierte Version gab. Möglicherweise müsste da auch was angepasst werden.

MfG

Edit: Habe grad mal geschaut, in Debian ist Version 1.37 bei http://xtables-addons.sourceforge.net/ gibt es 1.39

[rendegast]

Muß für Verwendung der xtables-addons eigentlich MODULESDIR um /lib/modules/(KERNEL)/updates/dkms erweitert werden?

mit dem Kernelsprung von 2.6.x auf 3.x zu tun hat, denke ich schon.

Also folgendes, wenn shorrwall mittels /etc/init.d/shorewall start starten lasse scheint alles in Ordnung zu sein, ausser das in den logs dann das hier steht.
...
[ 274.199761] xt_set: Unknown symbol ip_set_nfnl_put (err 0)
[ 274.199790] xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
...
[ 274.457882] xt_set: Unknown symbol ip_set_nfnl_put (err 0)
[ 274.457916] xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
...
[ 444.397581] xt_set: Unknown symbol ip_set_nfnl_put (err 0)
[ 444.397610] xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
...
[ 444.645389] xt_set: Unknown symbol ip_set_nfnl_put (err 0)
[ 444.645419] xt_set: Unknown symbol ip_set_nfnl_get_byindex (err 0)
Beim 2.6.39er Kernel geschieht das nicht.

xtables-addons, 1.37, 2.6.39-2-amd64, amd64: installed
xtables-addons, 1.37, 3.1.0-1-amd64, amd64: installed

Betrachte ich das mal näher:

Code: Alles auswählen

# grep -rli nfnl /lib/modules/2.6.39-bpo.2-686-pae/updates/*

# grep -rli nfnl /lib/modules/2.6.39-bpo.2-686-pae/kernel/* | sort
/lib/modules/2.6.39-bpo.2-686-pae/kernel/net/netfilter/ipset/ip_set.ko
/lib/modules/2.6.39-bpo.2-686-pae/kernel/net/netfilter/nf_conntrack_netlink.ko
/lib/modules/2.6.39-bpo.2-686-pae/kernel/net/netfilter/nfnetlink.ko
/lib/modules/2.6.39-bpo.2-686-pae/kernel/net/netfilter/xt_set.ko

Die Meldungen kommen dann wohl nicht aus den xtables-addons.

Schade, beim fraglichen Kernel leider identisch:

Code: Alles auswählen

# grep -rli nfnl /tmp/linux-image-3.1.0-1-amd64_3.1.0-1~experimental.1_amd64/*  | sort
/tmp/linux-image-3.1.0-1-amd64_3.1.0-1~experimental.1_amd64/lib/modules/3.1.0-1-amd64/kernel/net/netfilter/ipset/ip_set.ko
/tmp/linux-image-3.1.0-1-amd64_3.1.0-1~experimental.1_amd64/lib/modules/3.1.0-1-amd64/kernel/net/netfilter/nf_conntrack_netlink.ko
/tmp/linux-image-3.1.0-1-amd64_3.1.0-1~experimental.1_amd64/lib/modules/3.1.0-1-amd64/kernel/net/netfilter/nfnetlink.ko
/tmp/linux-image-3.1.0-1-amd64_3.1.0-1~experimental.1_amd64/lib/modules/3.1.0-1-amd64/kernel/net/netfilter/xt_set.ko

Muß ich dann wohl auch mal den experimental-Kernel ausprobieren?
Installation und dkms funktionieren schon mal (mit meinem squeeze-walkaround).
Reboot mit kernel 3.1 + shorewall funktioniert problemlos, habe jedoch nur die Beispielkonfig "one-interface" in Verwendung.

->
Obige Fehlermeldung passieren jeweils 2-mal?
LOG_VERBOSITY=2 vielleicht mal erhöhen? Vielleicht taucht ja die entsprechenden Aktion von shorewall auf.
Könnte mit einer von Dir gesetzten Regel zusammenhängen.

[DAS-ICH]

Hi

wenn ich den Loglevel höher setzen möchte starte shorewall gar nicht erst.

MfG

[rendegast]

Sorry,

Code: Alles auswählen

	    if [ -n "$LOG_VERBOSITY" ]; then
		case $LOG_VERBOSITY in
		    -1)
			;;
		    0|1|2)
			;;
		    *)
		        echo "  ERROR: Invalid LOG_VERBOSITY ($LOG_VERBOSITY)" >&2
			exit 2;
			;;
		esac

nur -1|0|1|2 erlaubt.
Dann mußt Du wohl Dein Regelwerk Schritt für Schritt durchgehen, um weiterzukommen.

Eventuell ließen sich die insmod/modprobe-Anweisungen in lib.common und Config.pm wortreicher ausführen?
'modprobe' -> 'modprobe -v'
falls es beim Laden der Module passiert.

Vielleicht IPTABLES="iptables -v" ?



Verschwindet die Nachricht nach Entfernen von xtables-addons?

[ 274.199677] xt_set: Unknown symbol ip_set_add (err 0)

Hat mit dem binary zu tun?

Code: Alles auswählen

# dpkg-query -S ipset | grep bin/ipset
xtables-addons-common: /usr/sbin/ipset

# ipset -L
ipset v4.5: Kernel ip_set module is of protocol version 6.I'm of protocol version 4.
Please upgrade your kernel and/or ipset(8) utillity.

Hier sind die addons-Module noch nicht installiert.

[DAS-ICH]

Hi

so nun bin ich verdutzt, ich dachte ich muss die xtables Pakete installiert haben, aber es werden die Module aus /lib/modules/3.1.0-1-amd64/kernel/net/netfilter/ geladen, ob xtables installiert ist oder nicht, sag ich mal.

Habe die xtable Pakete "gepurget" und erhalte die gleichen Meldungen wie auch vorher mit den xtable-Paketen.

Was ich auch noch gefunden habe, und mich annehmen lässt das immer die Module aus ...../netfilter/ geladen werden, ist das in /var/log/shorewall-init.log
FATAL: Error inserting xt_set (/lib/modules/3.1.0-1-amd64/kernel/net/netfilter/xt_set.ko): Unknown symbol in module, or unknown parameter (see dmesg)
drin steht, ob xtable-Pakete installiert sind oder nicht.

MfG

[rendegast]

Passend dazu.

Ich denke ich habe es:
Lade ich ip_set der addons (aus updates/dkms/) so gibt es:
... kernel: [10665.834641] ip_set version 4 loaded

Versuche ich das aber zBsp. mit insmod mit dem
/lib/modules/3.1.0-1-686-pae/kernel/net/netfilter/ipset/ip_set.ko
so gibt es sowas:

... kernel: [10760.660406] ip_set: Unknown symbol nfnetlink_subsys_register (err 0)
... kernel: [10760.660511] ip_set: Unknown symbol nfnl_unlock (err 0)
... kernel: [10760.660553] ip_set: Unknown symbol nfnetlink_subsys_unregister (err 0)
... kernel: [10760.660597] ip_set: Unknown symbol nfnl_lock (err 0)

was der Fehlermeldung doch ähnlich sieht.


Nach dem Installieren der addons und deren 'depmod' sollte deren ip_set eingetragen sein:

Code: Alles auswählen

# modinfo ip-set
filename:       /lib/modules/3.1.0-1-686-pae/updates/dkms/ip_set.ko
description:    module implementing core IP set support
author:         Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>
license:        GPL
depends:        
vermagic:       3.1.0-1-686-pae SMP mod_unload modversions 686 
parm:           max_sets:maximal number of sets (int)

und 'modprobe ip_set' erwischt dann dieses.

Mit ungesetztem MODULESDIR kommt in /var/lib/shorewall/.modulesdir sowas:

MODULESDIR=/lib/modules/3.1.0-1-686-pae/kernel/net/ipv4/netfilter:/lib/modules/3.1.0-1-686-pae/kernel/net/netfilter:/lib/modules/3.1.0-1-686-pae/kernel/net/sched:/lib/modules/3.1.0-1-686-pae/extra:/lib/modules/3.1.0-1-686-pae/extra/ipset

und die werden, soweit ich das sehe einfach abgearbeitet.
Im Normalfall ist wohl moduleloader=modprobe und
der Befehl wäre 'modprobe $modulename $*':

Code: Alles auswählen

loadmodule() # $1 = module name, $2 - * arguments
{
    local modulename
    modulename=$1
    local modulefile
    local suffix

    if ! list_search $modulename $DONT_LOAD $MODULES; then
	shift

	for suffix in $MODULE_SUFFIX ; do
	    for directory in $moduledirectories; do
		modulefile=$directory/${modulename}.${suffix}

		if [ -f $modulefile ]; then
		    case $moduleloader in
			insmod)
			    insmod $modulefile $*
			    ;;
			*)
			    modprobe $modulename $*
			    ;;
		    esac
		    break 2
		fi
	    done
	done
    fi
}

aber eventuell kommt bei Dir 'insmod $modulefile $*' zum Zuge?

Oder läuft die Installation der xtables-addons ohne das abschließende 'depmod'?
'modinfo ip_set' bei installierten xtables-addons?

[DAS-ICH]

Hi

habe xtable-addons wieder installiert und selbst danach zeigt mir ein modinfo xt_set das er die Module von ..../net/netfilter nutzt.
ein modinfo ip_set verweist auf .../update/dkms.

Wird dann wohl bei depmod etwas falsch laufen.

Edit:sehe grade das in .../updates/dkms/ gar kein xt_set.ko vorhanden ist, wird also mit den xtables-Pakete garnicht installiert.

MfG