Kernel Module für Shorewall
Kernel Module für Shorewall
Ich würde mir gerne einen angepassten Kernel für meinen squeeze/shorewall-Router bauen. Mit dieser config für einen 2.6.36er Kern funktioniert es bisher nicht. Ich bitte um Verbesserungsvorschläge.
Grüße, Günther
Grüße, Günther
- whisper
- Beiträge: 3379
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Kernel Module für Shorewall
Da bin ich nicht der richtige Experte, was allerdings zu meinem Standard 2.6.32 Kernel auffällt:
Code: Alles auswählen
grep -i tables config-2.6.32-5-amd64
CONFIG_IP_MULTIPLE_TABLES=y
CONFIG_IPV6_MULTIPLE_TABLES=y
CONFIG_NETFILTER_XTABLES=m
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_ARPTABLES=m
CONFIG_IP6_NF_IPTABLES=m
CONFIG_BRIDGE_NF_EBTABLES=m
# iptables trigger is under Netfilter config (LED target)
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt.
Re: Kernel Module für Shorewall
Warum gibt der "Verschieber" sich nicht zu erkennen?
Ich bezweifle stark, dass diese Verschiebung irgendeinen Sinn macht.
genervte Grüße Günther
[edit:] messages bei Verwendung des Standard-Kerns (2.6.32) liefert das hier, und das entspricht in etwa dem, was ich beim Booten als (erfolgreiche) shorewall-Meldung sehe:
Ich bezweifle stark, dass diese Verschiebung irgendeinen Sinn macht.
genervte Grüße Günther
[edit:] messages bei Verwendung des Standard-Kerns (2.6.32) liefert das hier, und das entspricht in etwa dem, was ich beim Booten als (erfolgreiche) shorewall-Meldung sehe:
Code: Alles auswählen
router kernel: [ 79.772234] ip_tables: (C) 2000-2006 Netfilter Core Team
router kernel: [ 122.702653] Netfilter messages via NETLINK v0.30.
router kernel: [ 123.349053] nf_conntrack version 0.5.0 (2215 buckets, 8860 max)
router kernel: [ 123.382480] CONFIG_NF_CT_ACCT is deprecated and will be removed soon. Please use
router kernel: [ 123.388356] nf_conntrack.acct=1 kernel parameter, acct=1 nf_conntrack module option or
router kernel: [ 123.392193] sysctl net.netfilter.nf_conntrack_acct=1 to enable it.
router kernel: [ 127.217347] NF_TPROXY: Transparent proxy support initialized, version 4.1.0
router kernel: [ 127.224588] NF_TPROXY: Copyright (c) 2006-2007 BalaBit IT Ltd.
router kernel: [ 128.374200] ctnetlink v0.93: registering with nfnetlink.
router kernel: [ 131.542453] ClusterIP Version 0.8 loaded successfully
router kernel: [ 140.299770] xt_time: kernel timezone is -0000
shorewalll, Kernel-Module
Wenn ich meinen Squeeze-Router mit dem Standard-Kern 2.6.32 starte kommt beim Shorewall-Start dieses Meldung: CONFIG_NF_CT_ACCT is deprecated and will be removed soon. Please use
nf_conntrack.acct=1 kernel paramater, acct=1 nf_conntrack module option or
sysctl net.netfilter.nf_conntrack_acct=1 to enable it.
Ich versuche einen eigenen Kern 2.6.36.2 zu bauen. Für den habe ich mittlerweile nf_conntrack als Modul einkompiliert. Das Modul wird geladen. Keine Ahnung, ob dort nf_ct_acct noch exisitiert.
Shorewall startet immer noch nicht. Immerhin habe ich jetzt in shorewall-init.log eine allerdings, wie ich finde, ziemlich nichtssagende Fehlermeldung:
Muss ich jetzt bei dem 36er Kern den obigen Parameter mitgeben? Und wenn ja wie?
Folgende Zeile in /etc/sysctl.conf neu kreieren?
Muss ich sonstwas tun?
Grüße, Günther
nf_conntrack.acct=1 kernel paramater, acct=1 nf_conntrack module option or
sysctl net.netfilter.nf_conntrack_acct=1 to enable it.
Ich versuche einen eigenen Kern 2.6.36.2 zu bauen. Für den habe ich mittlerweile nf_conntrack als Modul einkompiliert. Das Modul wird geladen. Keine Ahnung, ob dort nf_ct_acct noch exisitiert.
Shorewall startet immer noch nicht. Immerhin habe ich jetzt in shorewall-init.log eine allerdings, wie ich finde, ziemlich nichtssagende Fehlermeldung:
Code: Alles auswählen
May 13 14:23:42 Loading Modules...
May 13 14:23:44 ERROR: Your kernel/iptables do not include state match support.
Folgende Zeile in /etc/sysctl.conf neu kreieren?
Code: Alles auswählen
net.netfilter.nf_conntrack_acct=1
Grüße, Günther
-
- Beiträge: 923
- Registriert: 09.07.2008 11:50:57
- Lizenz eigener Beiträge: MIT Lizenz
Re: shorewalll, Kernel-Module
Shorewall is doch nurn fancy Frontend um sich iptables Regeln zusammen zu klicken/bauen oder hatte ich da was falsch gelesen in der Beschreibung?
Poste deine config für den Kernel (pastebin).
Poste deine config für den Kernel (pastebin).
Re: shorewalll, Kernel-Module
Man bekommt diese Meldung auch ohne Shorewall und mit reinen iptables. Und es funktioniert trotzdem, steht ja nur "deprecacted" da, sinngemäß also "unerwünscht, aber noch funktionierend". Mit "Loading Modules..." könnten auch Templates von Shorewall selbst gemeint sein, keine Kernelmodule (Achtung, Vermutung!). Steht zeitgleich etwas in dmesg/syslog, das auf frisch geladene Module hinweist?
Gruß Cae
Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
- Saxman
- Beiträge: 4233
- Registriert: 02.05.2005 21:53:52
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: localhost
Re: Kernel Module für Shorewall
Beiträge zusammengeführt. Ein Thread zu diesem Thema reicht.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Re: Kernel Module für Shorewall
Der Sinn der Meldung ist mir schon klar, aber das ist nicht das Problem. Ohne das jetzt überprfüft zu haben, gehe ich davon aus, dass es NF_CT_ACCT im 36er Kern nicht mehr gibt, weil durch NF_CONNTRACK ersetzt.Cae hat geschrieben:steht ja nur "deprecacted" da, sinngemäß also "unerwünscht, aber noch funktionierend"
Was ist mit "sysctl" gemeint? /etc/sysctl.conf? "net.netfilter.nf_conntrack_acct=1" dort eingetragen gibt nämlich nur eine neue Fehlermeldung.
@Saxman
Deswegen wäre es mir, wenn schon, lieber gewesen, du hättest ihn unter Internetrouter und Proxies zusammengeführt - aber egal, was Genaues scheint eh niemand zu wissen.Cae hat geschrieben:Mit "Loading Modules..." könnten auch Templates von Shorewall selbst gemeint sein, keine Kernelmodule (Achtung, Vermutung!).
Grüße, Günther
-
- Beiträge: 923
- Registriert: 09.07.2008 11:50:57
- Lizenz eigener Beiträge: MIT Lizenz
Re: Kernel Module für Shorewall
guennid hat geschrieben: Was ist mit "sysctl" gemeint? /etc/sysctl.conf? "net.netfilter.nf_conntrack_acct=1" dort eingetragen gibt nämlich nur eine neue Fehlermeldung.
Code: Alles auswählen
man sysctl
Re: Kernel Module für Shorewall
So, mit dieser config funktioniert es jetzt. Ich habe alles unter "Core Netfilter Configuration" und unter "IP: Netfilter Configuration", wenn möglich, fest in den Kern einkompiliert, mit zwei Ausnahmen "ULog Target Support" (das gab wieder Fehler) und "CHECKSUM Target Support" (Grund weiß ich nicht mehr). Das ist sicher noch wenig optimal. Wenn mir jemand Tipps geben kann, wie man diesen ROUTER-Kern weiter abspecken kann (auch unabhängig vom iptables-Geraffel), wären die sehr willkommen.
Grüße, Günther
Grüße, Günther