Kernel Module für Shorewall

[guennid]

Ich würde mir gerne einen angepassten Kernel für meinen squeeze/shorewall-Router bauen. Mit dieser config für einen 2.6.36er Kern funktioniert es bisher nicht. Ich bitte um Verbesserungsvorschläge.

Grüße, Günther

[whisper]

Da bin ich nicht der richtige Experte, was allerdings zu meinem Standard 2.6.32 Kernel auffällt:

Code: Alles auswählen

grep -i tables config-2.6.32-5-amd64 
CONFIG_IP_MULTIPLE_TABLES=y
CONFIG_IPV6_MULTIPLE_TABLES=y
CONFIG_NETFILTER_XTABLES=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP6_NF_IPTABLES=m
CONFIG_BRIDGE_NF_EBTABLES=m
# iptables trigger is under Netfilter config (LED target)

[guennid]

Warum gibt der "Verschieber" sich nicht zu erkennen?

Ich bezweifle stark, dass diese Verschiebung irgendeinen Sinn macht.

genervte Grüße Günther

[edit:] messages bei Verwendung des Standard-Kerns (2.6.32) liefert das hier, und das entspricht in etwa dem, was ich beim Booten als (erfolgreiche) shorewall-Meldung sehe:

Code: Alles auswählen

router kernel: [   79.772234] ip_tables: (C) 2000-2006 Netfilter Core Team
router kernel: [  122.702653] Netfilter messages via NETLINK v0.30.
router kernel: [  123.349053] nf_conntrack version 0.5.0 (2215 buckets, 8860 max)
router kernel: [  123.382480] CONFIG_NF_CT_ACCT is deprecated and will be removed soon. Please use
router kernel: [  123.388356] nf_conntrack.acct=1 kernel parameter, acct=1 nf_conntrack module option or
router kernel: [  123.392193] sysctl net.netfilter.nf_conntrack_acct=1 to enable it.
router kernel: [  127.217347] NF_TPROXY: Transparent proxy support initialized, version 4.1.0
router kernel: [  127.224588] NF_TPROXY: Copyright (c) 2006-2007 BalaBit IT Ltd.
router kernel: [  128.374200] ctnetlink v0.93: registering with nfnetlink.
router kernel: [  131.542453] ClusterIP Version 0.8 loaded successfully
router kernel: [  140.299770] xt_time: kernel timezone is -0000

[guennid]

Wenn ich meinen Squeeze-Router mit dem Standard-Kern 2.6.32 starte kommt beim Shorewall-Start dieses Meldung: CONFIG_NF_CT_ACCT is deprecated and will be removed soon. Please use
nf_conntrack.acct=1 kernel paramater, acct=1 nf_conntrack module option or
sysctl net.netfilter.nf_conntrack_acct=1 to enable it.

Ich versuche einen eigenen Kern 2.6.36.2 zu bauen. Für den habe ich mittlerweile nf_conntrack als Modul einkompiliert. Das Modul wird geladen. Keine Ahnung, ob dort nf_ct_acct noch exisitiert.
Shorewall startet immer noch nicht. Immerhin habe ich jetzt in shorewall-init.log eine allerdings, wie ich finde, ziemlich nichtssagende Fehlermeldung:

Code: Alles auswählen

May 13 14:23:42 Loading Modules...
May 13 14:23:44    ERROR: Your kernel/iptables do not include state match support.

Muss ich jetzt bei dem 36er Kern den obigen Parameter mitgeben? Und wenn ja wie?

Folgende Zeile in /etc/sysctl.conf neu kreieren?

Code: Alles auswählen

net.netfilter.nf_conntrack_acct=1

Muss ich sonstwas tun?

Grüße, Günther

[Gunman1982]

Shorewall is doch nurn fancy Frontend um sich iptables Regeln zusammen zu klicken/bauen oder hatte ich da was falsch gelesen in der Beschreibung?
Poste deine config für den Kernel (pastebin).

[guennid]

Hier ist die config.

Grüße, Günther

[Cae]

Man bekommt diese Meldung auch ohne Shorewall und mit reinen iptables. Und es funktioniert trotzdem, steht ja nur "deprecacted" da, sinngemäß also "unerwünscht, aber noch funktionierend". Mit "Loading Modules..." könnten auch Templates von Shorewall selbst gemeint sein, keine Kernelmodule (Achtung, Vermutung!). Steht zeitgleich etwas in dmesg/syslog, das auf frisch geladene Module hinweist?

Gruß Cae

[Saxman]

Beiträge zusammengeführt. Ein Thread zu diesem Thema reicht.

[guennid]

steht ja nur "deprecacted" da, sinngemäß also "unerwünscht, aber noch funktionierend"

Der Sinn der Meldung ist mir schon klar, aber das ist nicht das Problem. Ohne das jetzt überprfüft zu haben, gehe ich davon aus, dass es NF_CT_ACCT im 36er Kern nicht mehr gibt, weil durch NF_CONNTRACK ersetzt.

Was ist mit "sysctl" gemeint? /etc/sysctl.conf? "net.netfilter.nf_conntrack_acct=1" dort eingetragen gibt nämlich nur eine neue Fehlermeldung.

@Saxman

Mit "Loading Modules..." könnten auch Templates von Shorewall selbst gemeint sein, keine Kernelmodule (Achtung, Vermutung!).

Deswegen wäre es mir, wenn schon, lieber gewesen, du hättest ihn unter Internetrouter und Proxies zusammengeführt - aber egal, was Genaues scheint eh niemand zu wissen.

Grüße, Günther

[Gunman1982]

Was ist mit "sysctl" gemeint? /etc/sysctl.conf? "net.netfilter.nf_conntrack_acct=1" dort eingetragen gibt nämlich nur eine neue Fehlermeldung.

Code: Alles auswählen

man sysctl

[guennid]

Bringt mir rein gar nichts.

[guennid]

So, mit dieser config funktioniert es jetzt. Ich habe alles unter "Core Netfilter Configuration" und unter "IP: Netfilter Configuration", wenn möglich, fest in den Kern einkompiliert, mit zwei Ausnahmen "ULog Target Support" (das gab wieder Fehler) und "CHECKSUM Target Support" (Grund weiß ich nicht mehr). Das ist sicher noch wenig optimal. Wenn mir jemand Tipps geben kann, wie man diesen ROUTER-Kern weiter abspecken kann (auch unabhängig vom iptables-Geraffel), wären die sehr willkommen.

Grüße, Günther