Sujet Précédent Sujet Suivant

Iptables

Fermé
Fonzie - 30 août 2008 à 16:43
 Fonzie - 31 août 2008 à 15:17
Hello,

j'ai un petit soucis avec Iptables.
je suis passé a une nouvelle version de mon noyau Linux ( 2.6.18.6 -> 2.6.26.2 ) en ajoutant les modules Netfilter
puis j'ai fait
make modules && make modules_install && make-kpkg --initrd --revision=2.6.26.2 kernel-image && make clean

le probleme c'est quand je lance mon iptables sa me donne l'erreur suivante
iptables: No chain/target/match by that name

apparement du a la chaine suivante :
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

pour fonctionner je suis obligé de mettre mes strategies a :
# Defaults Policies
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

pas top donc
j'ai cherché et l'erreur pourrait etre du a un depmod -a (mais sa n'a rien donné) ou un module non installé mais la je vois pas :/, ou je me suis surement planté quelque part

si quelqu'un a une petite idée

7 réponses

Réponse 1 / 7
lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
30 août 2008 à 17:02
Salut,

affiche le résultat de 
grep 'STATE' /boot/config-$(uname -r)
0
Réponse 2 / 7
Fonzie
30 août 2008 à 18:20
CONFIG_VGASTATE=m

je pense que je suis bon pour une nouvelle compilation
0
Réponse 3 / 7
Fonzie
31 août 2008 à 13:14
bon, apres une nouvelle compilation j'ai toujours une erreur a la meme chaine;
iptables -t filter -A INPUT --match state --state ESTABLISHED,RELATED -j ACCEPT

mais cette fois ci avec l'erreur est
iptables: Invalid argument
0
Réponse 4 / 7
lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
31 août 2008 à 13:22
Salut,
la table filter est utilisée par défaut, donc tu n'est pas obliger d'utiliser -t filter
essaie comme ça
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
31 août 2008 à 13:25
Re,

En fait tu ne peux pas savoir où est l'erreur à moins que tu ne vérifie les règles une par une
c'est le point faible de la configuration en ligne de commande

tape directement dans la console tes règles pour dépister laquelle n'est pas bonne
0
Fonzie
31 août 2008 à 13:53
celle la meme.
j'ai reduit mon fichier de configuration au minimum

echo Setting firewall rules...
# vidage des tables
iptables -t filter -F
iptables -t filter -Z
iptables -t filter -X
echo -e "- Vider les tables :\t\t\t\t\t[OK]"
# Polices par défaut
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo -e "- Defaults Policies :\t\t\t\t\t[OK]"
iptables -A INPUT --match state --state ESTABLISHED,RELATED -j ACCEPT

quand je commente la derniere ligne je n'ai pas d'erreur

maintenant en ligne de commande j'ai rentré les memes chaines mais sa bloque toujours sur la derniere
$ sudo iptables -A INPUT --match state --state ESTABLISHED,RELATED -j ACCEPT
iptables: Invalid argument
0
Réponse 6 / 7
Fonzie
31 août 2008 à 14:22
bon en fait j'ai du nouveau, en rentrant mes chaines dans un terminal en session graphique la seule erreur qui est retourné est
iptables : invalid argument

mais si je lance cette meme chaine dans un tty j'ai l'erreur suivante en plus
can't load conntrack support for proto=2

que je peux retrouver avec un dmesg | tail
0
Réponse 7 / 7
lami20j Messages postés 21331 Date d'inscription jeudi 4 novembre 2004 Statut Modérateur, Contributeur sécurité Dernière intervention 30 octobre 2019 3 569
31 août 2008 à 14:29
Re,

ta règles est correcte 
lami20j@debian:~$ sudo iptables -A INPUT --match state --state ESTABLISHED,RELATED -j ACCEPT
lami20j@debian:~$ sudo iptables -v -L -n
Chain INPUT (policy ACCEPT 6 packets, 312 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED


Affiche le résultat de (voir en gras) 
lami20j@debian:~$ ls -l /proc/sys/net/ipv4/netfilter/
total 0
-r--r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_buckets
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_checksum
-r--r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_count
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_generic_timeout
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_icmp_timeout
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_log_invalid
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_max
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_be_liberal
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_loose
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_max_retrans
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_close
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_close_wait
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_established
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_fin_wait
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_last_ack
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_max_retrans
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_syn_recv
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_syn_sent
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_tcp_timeout_time_wait
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_udp_timeout
-rw-r--r-- 1 root root 0 2008-08-30 16:56 ip_conntrack_udp_timeout_stream
lami20j@debian:~$ grep CONNTRACK /boot/config-$(uname -r)
CONFIG_NF_CONNTRACK_ENABLED=m
CONFIG_NF_CONNTRACK=m
CONFIG_NF_CONNTRACK_MARK=y
CONFIG_NF_CONNTRACK_SECMARK=y
# CONFIG_NF_CONNTRACK_EVENTS is not set
CONFIG_NF_CONNTRACK_AMANDA=m
CONFIG_NF_CONNTRACK_FTP=m
# CONFIG_NF_CONNTRACK_H323 is not set
CONFIG_NF_CONNTRACK_IRC=m
# CONFIG_NF_CONNTRACK_NETBIOS_NS is not set
CONFIG_NF_CONNTRACK_PPTP=m
# CONFIG_NF_CONNTRACK_SANE is not set
# CONFIG_NF_CONNTRACK_SIP is not set
CONFIG_NF_CONNTRACK_TFTP=m
CONFIG_NETFILTER_XT_MATCH_CONNTRACK=m
CONFIG_NF_CONNTRACK_IPV4=m
CONFIG_NF_CONNTRACK_PROC_COMPAT=y
# CONFIG_NF_CONNTRACK_IPV6 is not set
lami20j@debian:~$
0
Fonzie
31 août 2008 à 15:16
alors le resultat de la commande me retourne ceci
$ grep CONNTRACK /boot/config-$(uname -r)
# CONFIG_NF_CONNTRACK_IPV4 is not set

mea culpa, dans mon make menuconfig j'ai selectionné ce qu'il me fallait sauf la toute premiere ligne, la plus importante ... donc j'ai recompilé mon noyau

maintenant Iptables refonctionne correctement avec mon nouveau noyau

merci beaucoup pour ta patience
0
Fonzie
31 août 2008 à 15:17
et ton aide precieuse ^
0

Discussions similaires

Configuration Iptables Openvpn Client
angel_reborn -
avion-f16 -

8 réponses
Raspberry pi avec le firewall iptables
jackyc_french -
jackyc_french -

12 réponses
Samba et iptables
sam_6716 -
sam_6716 -

3 réponses
Probleme Iptables
unconnu75 -
spacm -

1 réponse
[iptables] comment faire du filtrage sur igmp
nacer56 -
nacer56 -

5 réponses