Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)  (Прочитано 192923 раз)

0 Пользователей и 2 Гостей просматривают эту тему.

100РОЖ

  • Гость
Re: iptables _ CONNLIMIT
« Ответ #45 : 22 Октября 2008, 19:01:45 »
Имею
root@ubuntu-server:/usr/src/patch-o-matic-ng-20081021# ./runme
Hey! KERNEL_DIR is not set.
Where is your kernel source directory? [/usr/src/linux] /usr/src/linux-2.6.27.2
Hey! IPTABLES_DIR is not set.
Where is your iptables source code directory? [/usr/src/iptables] /usr/src/iptables-1.4.2
Loading patchlet definitions................ done


Excellent! Source trees are ready for compilation.
После чего делаю в директории, где исходники ядра лежат:
/usr/src/linux-2.6.27.2# make
...
...
  CC [M]  net/ipv4/netfilter/ipt_ecn.o
net/ipv4/netfilter/ipt_ecn.c:20:42: ошибка: linux/netfilter_ipv4/ipt_ECN.h: No such file or directory
net/ipv4/netfilter/ipt_ecn.c:29: предупреждение: декларация ‘struct ipt_ECN_info’ внутри списка параметров
net/ipv4/netfilter/ipt_ecn.c:29: предупреждение: область действия типа - только данная декларация или определение, что может не соответствовать вашим намерениям
net/ipv4/netfilter/ipt_ecn.c: В функции ‘set_ect_ip’
net/ipv4/netfilter/ipt_ecn.c:33: ошибка: ‘IPT_ECN_IP_MASK’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:33: ошибка: (Each undeclared identifier is reported only once
net/ipv4/netfilter/ipt_ecn.c:33: ошибка: for each function it appears in.)
net/ipv4/netfilter/ipt_ecn.c:33: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:40: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c: На верхнем уровне:
net/ipv4/netfilter/ipt_ecn.c:48: предупреждение: декларация ‘struct ipt_ECN_info’ внутри списка параметров
net/ipv4/netfilter/ipt_ecn.c: В функции ‘set_ect_tcp’
net/ipv4/netfilter/ipt_ecn.c:58: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:58: ошибка: ‘IPT_ECN_OP_SET_ECE’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:59: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:60: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:60: ошибка: ‘IPT_ECN_OP_SET_CWR’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:61: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:69: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:70: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:71: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:72: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c: В функции ‘ecn_tg’
net/ipv4/netfilter/ipt_ecn.c:86: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:86: ошибка: ‘IPT_ECN_OP_SET_IP’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:87: предупреждение: passing argument 2 of ‘set_ect_ip’ from incompatible pointer type
net/ipv4/netfilter/ipt_ecn.c:90: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:90: ошибка: ‘IPT_ECN_OP_SET_ECE’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:90: ошибка: ‘IPT_ECN_OP_SET_CWR’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:92: предупреждение: passing argument 2 of ‘set_ect_tcp’ from incompatible pointer type
net/ipv4/netfilter/ipt_ecn.c: В функции ‘ecn_tg_check’
net/ipv4/netfilter/ipt_ecn.c:106: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:106: ошибка: ‘IPT_ECN_OP_MASK’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:108: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:111: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:111: ошибка: ‘IPT_ECN_IP_MASK’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:113: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:116: ошибка: доступ по указателю на неполный тип
net/ipv4/netfilter/ipt_ecn.c:116: ошибка: ‘IPT_ECN_OP_SET_ECE’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c:116: ошибка: ‘IPT_ECN_OP_SET_CWR’ undeclared (first use in this function)
net/ipv4/netfilter/ipt_ecn.c: На верхнем уровне:
net/ipv4/netfilter/ipt_ecn.c:129: ошибка: некорректное применение ‘sizeof’ к неполному типу ‘struct ipt_ECN_info’
make[3]: *** [net/ipv4/netfilter/ipt_ecn.o] Ошибка 1
make[2]: *** [net/ipv4/netfilter] Ошибка 2
make[1]: *** [net/ipv4] Ошибка 2
make: *** [net] Ошибка 2
Что думаете?

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #46 : 22 Октября 2008, 21:09:08 »
Думаю, что ты применил все патчи сразу, имеющиеся в patch-o-matic. Возможно какие-то из них битые.

Запускай ./runme с параметром, указывающим нужный тебе патч.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

100РОЖ

  • Гость
Re: iptables _ CONNLIMIT
« Ответ #47 : 22 Октября 2008, 21:19:57 »
Хм. А всё что есть накатить никак?

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #48 : 22 Октября 2008, 23:58:05 »
Думаю, что ты применил все патчи сразу, имеющиеся в patch-o-matic. Возможно какие-то из них битые.

Запускай ./runme с параметром, указывающим нужный тебе патч.

Мдя..я думаю что там половина битых.
Я пробовал и на новом ядре и на старом.

Кстати.. на счет айпитейблз... у меня стоит 1.3.8 версия... возможно надо пересобрать на 1.4 ?... возможно тогда уже будет с КОННЛИМИТ все гуд?..
Вот только будет ли все ок при пересборки? на какие директории надо обратить внимание?? и как анинсталить страую версию фаервола?

Оффлайн Nightik

  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #49 : 23 Октября 2008, 08:05:21 »
Думаю, что ты применил все патчи сразу, имеющиеся в patch-o-matic. Возможно какие-то из них битые.

Запускай ./runme с параметром, указывающим нужный тебе патч.

Мдя..я думаю что там половина битых.
Я пробовал и на новом ядре и на старом.

Кстати.. на счет айпитейблз... у меня стоит 1.3.8 версия... возможно надо пересобрать на 1.4 ?... возможно тогда уже будет с КОННЛИМИТ все гуд?..
Вот только будет ли все ок при пересборки? на какие директории надо обратить внимание?? и как анинсталить страую версию фаервола?
Невыдержал твоих мук, ибо сам мучался) Решил зарегаться и отписаться.
После двое суток танца с бубном уставновил iptables v1.4.2-rc1  и все замечательно заработало =)
"Анинсталить" ничего не надо, оно само все сделает как надо)
Мини мануал:
1) cd /tmp
2) sudo wget http://www.iptables.org/projects/iptables/files/iptables-1.4.2-rc1.tar.bz2
3) sudo tar --use-compress-program bzip2 -xvf iptables-1.4.2-rc1.tar.bz2
4) cd iptables-1.4.2-rc1
5) ./configure
6) sudo make
7) sudo make install
8.) iptables -V


Перед этим пробовал пересобирать ядро, ничего путевого не вышло.
Но вот не знаю будет ли на Ubuntu 8.04 работать, ибо в мои пляски вошло обновление до Ubuntu 8.10....

« Последнее редактирование: 23 Октября 2008, 08:11:57 от Nightik »

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #50 : 23 Октября 2008, 11:39:00 »
Думаю, что ты применил все патчи сразу, имеющиеся в patch-o-matic. Возможно какие-то из них битые.

Запускай ./runme с параметром, указывающим нужный тебе патч.

Мдя..я думаю что там половина битых.
Я пробовал и на новом ядре и на старом.

Кстати.. на счет айпитейблз... у меня стоит 1.3.8 версия... возможно надо пересобрать на 1.4 ?... возможно тогда уже будет с КОННЛИМИТ все гуд?..
Вот только будет ли все ок при пересборки? на какие директории надо обратить внимание?? и как анинсталить страую версию фаервола?
Невыдержал твоих мук, ибо сам мучался) Решил зарегаться и отписаться.
После двое суток танца с бубном уставновил iptables v1.4.2-rc1  и все замечательно заработало =)
"Анинсталить" ничего не надо, оно само все сделает как надо)
Мини мануал:
1) cd /tmp
2) sudo wget http://www.iptables.org/projects/iptables/files/iptables-1.4.2-rc1.tar.bz2
3) sudo tar --use-compress-program bzip2 -xvf iptables-1.4.2-rc1.tar.bz2
4) cd iptables-1.4.2-rc1
5) ./configure
6) sudo make
7) sudo make install
8.) iptables -V


Перед этим пробовал пересобирать ядро, ничего путевого не вышло.
Но вот не знаю будет ли на Ubuntu 8.04 работать, ибо в мои пляски вошло обновление до Ubuntu 8.10....



Спасибо большое за поддержку :)
Я как раз уже планировал переставить айпитейблз...
Ну думаю с 8.04 получиться.
Результат выложу тут )


Кстати, чем iptables-1.4.2-rc1 отличаеться от iptables-1.4.2 ?

______________________________

Проинсталил.. и все работает )) Уже не выкидует ошибки.
ЖЕСТЬ!!! Спасибо.

А такой вопросик... такие функции как Tarpit и др. будут также поддерживаеться ?
« Последнее редактирование: 23 Октября 2008, 13:10:50 от TrEK »

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #51 : 23 Октября 2008, 13:56:13 »
Мини мануал:
1) cd /tmp
2) sudo wget http://www.iptables.org/projects/iptables/files/iptables-1.4.2-rc1.tar.bz2
3) sudo tar --use-compress-program bzip2 -xvf iptables-1.4.2-rc1.tar.bz2
4) cd iptables-1.4.2-rc1
5) ./configure
6) sudo make
7) sudo make install
8.) iptables -V
Ну товарищи! Что же вы так с этим sudo-то. Нельзя же всё подряд от рута делать.
Исправленный мини-мануал (более безопасный):
1) cd /tmp
2) wget http://www.iptables.org/projects/iptables/files/iptables-1.4.2-rc1.tar.bz2
3) tar -jxvf iptables-1.4.2-rc1.tar.bz2 (просто так короче)
4) cd iptables-1.4.2-rc1
5) ./configure
6) make
7) sudo make install
8.) iptables -V
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн Nightik

  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #52 : 23 Октября 2008, 15:19:03 »
sudo или не sudo не принципиально...
Тут фишка интересная появилась... При большом кол-ве коннектов ~100, обрубается полностью доступ к серверу по всем портам... и что самое смешное, коннект восстанавливается, если всунуть мышку в пк.., по умолчанию у меня системник стоит без клавы, монитора и мыши.... Может конечно совпадение, но уже три раза так происходило... Вообщем я в шоке.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #53 : 23 Октября 2008, 16:58:07 »
sudo или не sudo не принципиально...
Тут фишка интересная появилась... При большом кол-ве коннектов ~100, обрубается полностью доступ к серверу по всем портам... и что самое смешное, коннект восстанавливается, если всунуть мышку в пк.., по умолчанию у меня системник стоит без клавы, монитора и мыши.... Может конечно совпадение, но уже три раза так происходило... Вообщем я в шоке.

мдя.... и не важно по каким портам эти коннекты?

Оффлайн Nightik

  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #54 : 23 Октября 2008, 17:08:29 »
Да чесно говоря, даже читая себя, мне кажется, что я пишу бред, ибо такой идиотизм вижу в первый раз  :-\
Коннекты вообще пропадают к серверу все
Сейчас в grub прописал старое ядро, пока час работает нормально.. посмотрим дальше...

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #55 : 23 Октября 2008, 18:45:57 »
Да чесно говоря, даже читая себя, мне кажется, что я пишу бред, ибо такой идиотизм вижу в первый раз  :-\
Коннекты вообще пропадают к серверу все
Сейчас в grub прописал старое ядро, пока час работает нормально.. посмотрим дальше...

хэх.. ну умора.
Хотя.. где-то я подобное уже слышал.

Оффлайн Nightik

  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #56 : 24 Октября 2008, 19:09:24 »
Вообщем все отлично, если обновлялся прописывай в грубе предыдущее ядро, и все будет нормально работать. В т.ч. и коннлимит. По крайней мере у меня уже сутки полёт нормальный.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #57 : 25 Октября 2008, 03:31:08 »
Вообщем все отлично, если обновлялся прописывай в грубе предыдущее ядро, и все будет нормально работать. В т.ч. и коннлимит. По крайней мере у меня уже сутки полёт нормальный.
Ну у меня щас 2,6,27 ядро с 1,4,2 айпимтейблзами.
Вроде бы работает.

Вот только TARPIT не канает.

Оффлайн Nightik

  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
Re: iptables _ CONNLIMIT
« Ответ #58 : 25 Октября 2008, 07:52:58 »
Вообщем все отлично, если обновлялся прописывай в грубе предыдущее ядро, и все будет нормально работать. В т.ч. и коннлимит. По крайней мере у меня уже сутки полёт нормальный.
Ну у меня щас 2,6,27 ядро с 1,4,2 айпимтейблзами.
Вроде бы работает.

Вот только TARPIT не канает.
Я же говорю при большом кол-ве соединений начинаются глюки, к тому же как мне показалось, это глюк драйверов для моего оборудования.

Оффлайн TrEK

  • Автор темы
  • Активист
  • *
  • Сообщений: 738
  • good day in FolK-King life :)
    • Просмотр профиля
    • smallprogs.ru
Re: iptables _ CONNLIMIT
« Ответ #59 : 25 Октября 2008, 19:36:57 »
Вообщем все отлично, если обновлялся прописывай в грубе предыдущее ядро, и все будет нормально работать. В т.ч. и коннлимит. По крайней мере у меня уже сутки полёт нормальный.
Ну у меня щас 2,6,27 ядро с 1,4,2 айпимтейблзами.
Вроде бы работает.

Вот только TARPIT не канает.
Я же говорю при большом кол-ве соединений начинаются глюки, к тому же как мне показалось, это глюк драйверов для моего оборудования.

Посмотрит как у меня будет летать!
Кстати а можна как-нбудь сделать.. чтоб ограничить каждой айпишке колличество сессий, но одной коммандой.. а не писать для каждоый айпи или сети новое правило?
« Последнее редактирование: 25 Октября 2008, 19:41:21 от TrEK »

 

Страница сгенерирована за 0.034 секунд. Запросов: 25.