Iptables DROP not found

0

1

Всем привет!

В общем столкнулся со следуюущей проблемой.

Есть CentOS 5.5 iptables 1.3.*

Появилась необходимость заюзать ipset, для этого необходим iptables версии 1.4.* , скачал, собрал, ipset работает и все было бы нормально, если б не отсутствие DROP..

# ls -l /usr/local/libexec/xtables/lib
libip6t_ah.so          libip6t_REJECT.so      libipt_MIRROR.so       libxt_CHECKSUM.so      libxt_CT.so            libxt_limit.so         libxt_pkttype.so       libxt_standard.so      libxt_TOS.so
libip6t_dst.so         libip6t_rt.so          libipt_NETMAP.so       libxt_CLASSIFY.so      libxt_dccp.so          libxt_mac.so           libxt_policy.so        libxt_state.so         libxt_TPROXY.so
libip6t_eui64.so       libipt_addrtype.so     libipt_realm.so        libxt_cluster.so       libxt_dscp.so          libxt_mark.so          libxt_quota.so         libxt_statistic.so     libxt_TRACE.so
libip6t_frag.so        libipt_ah.so           libipt_REDIRECT.so     libxt_comment.so       libxt_DSCP.so          libxt_MARK.so          libxt_rateest.so       libxt_string.so        libxt_u32.so
libip6t_hbh.so         libipt_CLUSTERIP.so    libipt_REJECT.so       libxt_connbytes.so     libxt_esp.so           libxt_multiport.so     libxt_RATEEST.so       libxt_tcpmss.so        libxt_udp.so
libip6t_hl.so          libipt_DNAT.so         libipt_SAME.so         libxt_connlimit.so     libxt_hashlimit.so     libxt_NFLOG.so         libxt_recent.so        libxt_TCPMSS.so        
libip6t_HL.so          libipt_ecn.so          libipt_SNAT.so         libxt_connmark.so      libxt_helper.so        libxt_NFQUEUE.so       libxt_sctp.so          libxt_TCPOPTSTRIP.so   
libip6t_icmp6.so       libipt_ECN.so          libipt_ttl.so          libxt_CONNMARK.so      libxt_IDLETIMER.so     libxt_NOTRACK.so       libxt_SECMARK.so       libxt_tcp.so           
libip6t_ipv6header.so  libipt_icmp.so         libipt_TTL.so          libxt_CONNSECMARK.so   libxt_iprange.so       libxt_osf.so           libxt_set.so           libxt_TEE.so           
libip6t_LOG.so         libipt_LOG.so          libipt_ULOG.so         libxt_conntrack.so     libxt_LED.so           libxt_owner.so         libxt_SET.so           libxt_time.so          
libip6t_mh.so          libipt_MASQUERADE.so   libipt_unclean.so      libxt_cpu.so           libxt_length.so        libxt_physdev.so       libxt_socket.so        libxt_tos.so

FATAL: Module ipt_DROP not found.
[root@hellmachine iptables-1.4.10]# modprobe ipt_drop
FATAL: Module ipt_drop not found.
[root@hellmachine iptables-1.4.10]# iptables -m drop -h
iptables v1.4.10: Couldn't load match `drop':/usr/local/libexec/xtables/libipt_drop.so: cannot open shared object file: No such file or directory

Внимание вопрос! Куда делся и где взять?

Ссылка

←	Как добавить Primary DNS Suffix к linux-машине?

убить соединение

→

разве оно модуль? :)

iptables -m drop -h iptables v1.4.8: Couldn't load match `drop':/lib/xtables/libipt_drop.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

buzer
(06.01.11 10:14:10 MSK)

Ссылка

Спокойствие, только спокойствие! Во-первых, не drop, а DROP, во-вторых, не -m, а -j.
Модуля такого быть не должно, потому что ACCEPT и DROP намертво встроены в netfilter.

nnz ★★★★
(06.01.11 10:51:22 MSK)

Ответ на: комментарий от nnz 06.01.11 10:51:22 MSK

Странно, но при попытке залобать что-то вроде

$IPT -A tcp_inbound -p TCP -m set --match-set trustednet src -i $LOCAL_IFACE --destination-port 3306 -j ACCEPT

сам иптаблес усилено орет о том, что ACCEPT`ов он знать не знает.. Жаль что рабочий день кончался и воспроизвести ошибку не могу..

Модуля такого быть не должно, потому что ACCEPT и DROP намертво встроены в netfilter.

Вот-вот .. оно то и смущает. Просто пробежался гуглями по интернетам и и все что мог найти, это куча жалоб на пропадание полезных фитч в iptables после сборки из исходников.. Вот я малость и запаниковал..

Valor ★
(06.01.11 12:01:55 MSK) автор топика

Ответ на: комментарий от Valor 06.01.11 12:01:55 MSK

Ты ему при сборке правильные заголовки ядра указал (из rpm) или левые?

nnz ★★★★
(06.01.11 12:04:13 MSK)

Ответ на: комментарий от nnz 06.01.11 12:04:13 MSK

не не .. хедеры из рпмки .. Ладно фиг с ним пока в понедельник разберусь..

Valor ★
(06.01.11 17:57:43 MSK) автор топика

Ответ на: комментарий от Valor 06.01.11 17:57:43 MSK

По-моему, косяк из-за того, что стандартный тарбол iptables сам содержит заголовки соответствующей версии ядра.

Советую сделать по этому мануалу: http://pbxinaflash.com/forum/showthread.php?t=8839

nnz ★★★★
(06.01.11 23:46:33 MSK)

Ответ на: комментарий от Valor 06.01.11 12:01:55 MSK

То есть у вас пропали все встроенные цели ACCEPT, DROP, RETURN? Очень интерестно. А если правило без цели (-j), то работает?

mky ★★★★★
(06.01.11 23:58:40 MSK)

Ответ на: комментарий от mky 06.01.11 23:58:40 MSK

Да часть стандартных целей не работают, так же не пашут некоторые цели из xtables, типа LOG, но самое печально это то, что перестал работать state.. т.е. конструкции вида

$IPT -A INPUT -p ALL -m state --state INVALID -j DROP

вызывают ошибки.. :(

Valor ★
(07.01.11 02:52:37 MSK) автор топика