iptables -m state

0

0

Что-то в ответ на магическую команду: iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT отвечает "iptables: Invalid argument". Ядро 2.6.24 поддержка state есть, iptables v1.3.6. Ни у кого не было таких проблем?

Ссылка

←	Максимальное кол-во одновременно работающих tcp-соединений

не печатаются русские буквы в SUSE 10.3

→

может TCP (большими буквами) ему не нравится?

~~sdio~~ ★★★★★
(01.03.08 09:28:10 MSK)

Ответ на: комментарий от sdio 01.03.08 09:28:10 MSK

Нееее.=) Не в этом дело. Мне кажется косяк в районе параметров --state.

Zi
(01.03.08 20:35:19 MSK) автор топика

Ссылка

Не было. Гониво кокойто.

~~paranormal~~ ★★
(02.03.08 15:35:00 MSK)

Ответ на: комментарий от paranormal 02.03.08 15:35:00 MSK

В общем ты издеваешься. Типа я копировала а оно не копировалось...

~~paranormal~~ ★★
(02.03.08 16:19:28 MSK)

Ответ на: комментарий от paranormal 02.03.08 16:19:28 MSK

Скриншот что ли нужен?

Zi
(02.03.08 20:22:16 MSK) автор топика

Ссылка

"tcp" маленькими буквами

"RELATED,ESTABLISHED", а не наоборот.

anonymous
(02.03.08 21:30:15 MSK)

Ответ на: комментарий от anonymous 02.03.08 21:30:15 MSK

Большими или маленькими без разницы, порядок следования параметров в опции state мануал не регламентирует.
Специально для особо недоверчивых:
http://home.sinn.ru/~bugalex/pic/sshot/iptables-0.png

Zi
(03.03.08 00:14:09 MSK) автор топика

Ответ на: комментарий от Zi 03.03.08 00:14:09 MSK

Да в ядре/iptables у тебя проблемы, исходная команда верная и работает у всех, кроме тебя.
И вообще на Дебиан Етч (Stable) компилять неизвестно зачем распоследнее ядро -- кощунство.

~~sdio~~ ★★★★★
(03.03.08 07:18:32 MSK)

Ответ на: комментарий от sdio 03.03.08 07:18:32 MSK

А чего кощунство-то?

Zi
(03.03.08 10:33:03 MSK) автор топика

Ответ на: комментарий от Zi 03.03.08 10:33:03 MSK

А чем оно оправдано? Железо (ноут)?

~~sdio~~ ★★★★★
(03.03.08 10:36:14 MSK)

Ссылка

Ответ на: комментарий от sdio 03.03.08 07:18:32 MSK

Мне нужен 8250 модулем, в ядре идущем с дистрибутивом оно вкомпилено внутрь.А уж если и брать ядра с kernel.org, то лучше "распоследние" на мой взгляд.

Zi
(03.03.08 10:41:27 MSK) автор топика

'iptables: Invalid argument' after kernel update (nat table)

http://www.netfilter.org/documentation/FAQ/netfilter-faq-3.html#ss3.20:
You have just upgraded your kernel and suddenly some of the commands (especially in the 'nat' table), and you experience something like:

    # iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
    iptables: Invalid argument

This happens when the structure size between kernel and userspace changes. You will need to recompile the iptables userspace program using the include files of your new kernel. This only happens if you (or the vendor of your kernel) has applied some patches either only to the old or only to the new kernel. It is not supposed to happen between vanilla kernel.org kernels. If it does, please inform the netfilter-devel mailinglist.

Zi
(03.03.08 11:39:58 MSK) автор топика

Ответ на: 'iptables: Invalid argument' after kernel update (nat table) от Zi 03.03.08 11:39:58 MSK

А ты не знал что iptables желательно перекомпилировать?

~~sdio~~ ★★★★★
(03.03.08 13:56:15 MSK)

Ссылка

Ответ на: комментарий от Zi 03.03.08 10:41:27 MSK

Я так и не понял зачем брать ванильное ядро если 8250 есть в дистрибутивном? Ну перекомпиль дистрибутивное с вынесением нужного в модуль.

~~sdio~~ ★★★★★
(03.03.08 13:57:37 MSK)

Ответ на: комментарий от sdio 03.03.08 13:57:37 MSK

Нет, про iptables не знал. Кстати перекомпиляция и не помогла.
В dmesg вот что нашёл:
Ghost:~# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables: Invalid argument
Ghost:~# dmesg |tail -n1
can't load conntrack support for proto=2

Мне неудобно ядро дистрибутива обновлять (dial-up), придётся каждый раз качать исходники. По крайней мере я не знаю как в debian делать секурити апдейт исходников ядра так, чтобы качались патчи а не всё ядро.

Zi
(03.03.08 15:04:20 MSK) автор топика