LINUX.ORG.RU
ФорумGeneral

Помогите разобраться в iptables

 ,


0

2

Требуется чтобы роутер увеличивал TTL входящих пактов на 1, т.к. на вход приходит 1 и пакеты не доходят до клиента. Захожу на рутер через телнет, пишу: iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1 в ответ получаю: iptables: No chain/target/match by that name при чём цепочка ТТL не создаётся, т. е. как я понимаю она существует, но отключена поддержка -j TTL в iptables. Каким образом это можно исправить? Роутер DIR300 если что. На другом роутере ттл увеличился без проблем

при чём цепочка ТТL не создаётся, т. е. как я понимаю она существует, но отключена поддержка -j TTL в iptables.

Нифига не понял, TTL это цель правила, а не цепочка.

Поддержка той или иной цели iptables может быть убрана (на этапе компиляции) как в ядре, так и в команде /sbin/iptables. В /lib/xtables (или где ещё) лежат файлы команды iptables, по их именам понятно, что знает /sbin/iptables. В файле /proc/net/ip_tables_targets перечисленно то, что знает ядро, плюс к этому имена модулей ядра.

Когда определите, где нет поддержки -j TTL, будет понятно, что перекомпилировать, /sbin/iptables или ядро, а может и то и другое. Или искать другую прошивку, если кросс-компилияция окажется для вас сложной задачей.

mky ★★★★★
()
Ответ на: комментарий от mky

Спасибо! У меня уже мозги сварились во всём этом копаться

draackul
() автор топика

Помню в FreeBSD была(может и сейчас есть) интересная фича - называлась stealth routing или как-то так. В общем, смысл в том, при роутинге значение TTL у пакетов не меняется => checksum IP заголовков пересчитывать не нужно (если нет NAT) => нагрузка на CPU меньше.

Интересно в линухе есть что-то подобное? А то вариант с iptables -j TTL - это все-таки костыль.

Rost ★★★★★
()
Ответ на: комментарий от mky

При чём перекомпилировать надо и iptables или ядро cat /proc/net/ip_tables_matchescat TTL в списке нет /proc/net/ip_tables_targets TTL в списке нет Если вам не сложно дать пару ссылок на подходящую литературу, ибо я ещё то дно в линуксе.

anonymous
()
Ответ на: комментарий от anonymous

Собирают софт для роутеров, в связи с их крайне низкими вычислительными мощностями, на другом компьютере, с другой архитектурой, то есть кросс-компиляция: http://habrahabr.ru/post/117194/ . iptables это простая программа, её можно собрать по аналогии и перетащить на флешке/по сети.

А вот ядро это часть прошивки, то есть, чтобы собрать своё ядро и загрузить с ним маршрутизатор нужно собрать мод прошивки, это сложнее... Вот, допустим http://www.network-engineer.ru/post-256.html . Но, я не уверен, что у вас это получится, там уже нужно хорошо понимать, что делать. Может попробовать прошить роутер другой версией прошивки или вместо dd-wrt взять openwrt...

mky ★★★★★
()
Ответ на: комментарий от mky

На этот роутер нет сторонних прошивок. Я почитал тему и пока всё отложил. Надо приобрести Raspberry Pi и на нём учиться. Спасибо за советы.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General