Автор Тема: iptables -m connlimit (Прочитано 4946 раз)

MisHel64 · « : 19.01.2009 14:41:14 »

В общем разобрался, в проблеме, по этому изменю исходное сообщени, может кому пригодится.

Исходный дистрибутив Server 4.0.1

Пытаюсь использовать модуль connlimit. Строчка взята из мана.
# iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

1) Обновился из бранча 4.0
Версия ядра 2.6.18-std-smp-alt12.M40.3
Версия: iptables 1.3.7
При попытке отдать команду #iptables ....
в ответ "No chain/terget/match by that name"
Причина, для данного ядра не скопилировали модуль "xt_connlimit"
Лично меня это очень сильно удивляет, так как с помощью этого модуля можно решить кучу проблем с хакерами/спамерами и прочей нечестью.

2) Обновился из бранча 4.1
Версия ядра 2.6.25-std-def-alt8.M41.4
Версия: iptables 1.3.7

Теперь в ответ на запуск iptables получаю: "Invalid argument".
И запись в /var/log/messages: "kernel: ip_tables: connlimit match: invalid size 32 != 16"
Если я правильно понял фразу найденную в инете:
"the size 32 != 16 sounds like one piece wants a shortword and the other a longword. a sanity check, in other words..." Это ошибка уже iptables.

3) Обновил из бранча 5.0
Версия ядра 2.6.25-std-def-alt8.M41.4
Версия: iptables 1.4.0
Все работает успешно.

А теперь вопросы.
Как и где правильно пожаловатся на ошибку в iptables?
Стоит ли ожидать, что в бранче 4.1 появится более новая версия iptable?
А вообще я в шоке. Такой нужный модуль для безопстности, и не работает в двух бранчах. И внятного ответа на вопрос почему, нигде не нашел, и не смог получить.

Schum@cheR · « **Ответ #1 :** 19.01.2009 17:26:29 »

Постала аналогичная проблема, начали наводнять сервер SYN пакетами нашол в гугле кучу статей по тому как от такого защитится и все статьи говорят на этот модуль который почему-то только в альте криво так работает :'( что делать ?

Alexei_VM · « **Ответ #2 :** 19.01.2009 17:34:04 »

Цитата: MisHel64 от 19.01.2009 14:41:14

И внятного ответа на вопрос почему, нигде не нашел, и не смог получить.

Вы спрашивали в рассылке sysadmins@? Тут вам на такие вопросы точно никто не ответит.

AMike · « **Ответ #3 :** 19.01.2009 19:30:42 »

Цитата: MisHel64 от 19.01.2009 14:41:14

В общем разобрался, в проблеме, по этому изменю исходное сообщени, может кому пригодится.

Исходный дистрибутив Server 4.0.1

Пытаюсь использовать модуль connlimit. Строчка взята из мана.
# iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

1) Обновился из бранча 4.0
Версия ядра 2.6.18-std-smp-alt12.M40.3
Версия: iptables 1.3.7
При попытке отдать команду #iptables ....
в ответ "No chain/terget/match by that name"
Причина, для данного ядра не скопилировали модуль "xt_connlimit"
Лично меня это очень сильно удивляет, так как с помощью этого модуля можно решить кучу проблем с хакерами/спамерами и прочей нечестью.

2) Обновился из бранча 4.1
Версия ядра 2.6.25-std-def-alt8.M41.4
Версия: iptables 1.3.7

Теперь в ответ на запуск iptables получаю: "Invalid argument".
И запись в /var/log/messages: "kernel: ip_tables: connlimit match: invalid size 32 != 16"
Если я правильно понял фразу найденную в инете:
"the size 32 != 16 sounds like one piece wants a shortword and the other a longword. a sanity check, in other words..." Это ошибка уже iptables.

3) Обновил из бранча 5.0
Версия ядра 2.6.25-std-def-alt8.M41.4
Версия: iptables 1.4.0
Все работает успешно.

А теперь вопросы.
Как и где правильно пожаловатся на ошибку в iptables?
Стоит ли ожидать, что в бранче 4.1 появится более новая версия iptable?
А вообще я в шоке. Такой нужный модуль для безопстности, и не работает в двух бранчах. И внятного ответа на вопрос почему, нигде не нашел, и не смог получить.

Жаловаться в багзилу вестимо. Не уверен, что быстро в бранчи 4.1 и тем более 4.0 кто-то выкатит новое ядро и iptables.
Но всё же повести багу в багозиллу.

MisHel64 · « **Ответ #4 :** 19.01.2009 21:49:14 »

to Schum@cheR: Наверно пойти по моему пути.
1) Что бы получить нужный подуль, подключаешь бранч 4.1/5.0 и обновляешь ядро и/или всю ситему.
Альтернатива самому собирать ядро.
2) Что бы получить исправленный IPTABLES подключаешь бранч 5.0 и обновляешь IPTABLES/всю ситему.
Альтернатива самому собирать IPTABLES.
3) Решить проблему через модуль limit. Я так это решал.

to Alexei_VM: Да, я спрашивал там, повторюсь, "И внятного ответа не смог получить".

to AMike Ну зачем же все было цитировать? И втречный вопрос, а где эта самая "багзила" живет. Слышать слышал, но не разу не пользовался. URL если можно. Баг обязательно повешу.

Alexei_VM · « **Ответ #5 :** 19.01.2009 22:34:50 »

Цитата: MisHel64 от 19.01.2009 21:49:14

а где эта самая "багзила" живет. Слышать слышал, но не разу не пользовался. URL если можно. Баг обязательно повешу.

ctrl-f багтракер

AMike · « **Ответ #6 :** 21.01.2009 19:16:28 »

https://bugzilla.altlinux.org/

MisHel64 · « **Ответ #7 :** 11.06.2009 03:24:53 »

Цитата: AMike от 19.01.2009 19:30:42

Жаловаться в багзилу вестимо. Не уверен, что быстро в бранчи 4.1 и тем более 4.0 кто-то выкатит новое ядро и iptables.
Но всё же повести багу в багозиллу.

Багу повесил, как советовали, и получил в ответ, что исправлять в 4.0 и в 4.1 эту багу не будут.

И в последнее время, чем плотее занимаюсь юниксом, тем больше начинаю любить виндовс.

Форум сообщества
Альт Линукс