Linux Schulungen: http://www.opensource-training.de  
 
Foren > Firewalling mit Linux > Statefull ip6tables
Navigation
Schulungen
Foren
  Allgemeines Forum
  Intrusion Detection
  VPN mit Linux
  Firewalling mit Linux
  SELinux/AppArmor
SELinux/AppArmor Buch
IDS-Buch
VPN-Buch
Firewall-Buch
Nachrichten
Vorträge/Tutorials
Artikel
Linux-Magazin Artikel
Anmelden / Daten ändern
Messen
Impressum
Serverspiegel
Zertifizierungen
GPG Public Key

Flavours
English
German

Search

Visitors
Besucher 746138
Ansichten 3737
Online 0

Statefull ip6tables

Springe zu
Thema Verfasser Letzte Antwort
Statefull ip6tables Segfault ( ---.citykom.de) 19 Oct 2006 06:13
Es scheint ein Kernelproblem zu sein, auch
<http://lists.netfilter.org/pipermail/netfilter/2006-May/065655.html>
weist in diese Richtung.

RE: Statefull ip6tablesRalf ( ---.dip.t-dialin.net)19 Oct 2006 05:54
Auf welches Problem beziehst Du Dich?
RE: RE: Statefull ip6tablesSegfault ( ---.citykom.de)19 Oct 2006 06:13
Ich habe mich bei der Antwort (an mich selbst) im Forum vertan. (Eindeutig ein Bedienerproblem.) Ursprungsposting war:

--------------- cut here --------------------------
Ich versuche gerade mit folgenden Randbedingungen:

# ip6tables -V
ip6tables v1.3.5

# cat /proc/version
Linux version 2.6.17-2-686 (Debian 2.6.17-9)

statefull ip6tables zu nutzen, was auf den ersten Blick gut aussieht:

# zless /usr/share/doc/iptables/changelog.Debian.gz
iptables (1.3.5.0debian1-1) unstable; urgency=low

* New upstream release
+ added ipv6 state match support
+ updated IPsec (policy match) support
+ added in-kernel string match support
+ fixed ipv6 owner match
+ read upstream changelog v1.3.4 and v1.3.5 entries for more

Ich kann auch konfigurieren:

# ip6tables -L lab-in -n -v
Chain lab-in (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all lab * ::/0 ::/0 state RELATED,ESTABLISHED
312 32448 ACCEPT icmpv6 lab * ::/0 ::/0
0 0 ACCEPT tcp lab * ::/0 ::/0 state NEW tcp dpt:25
1 80 ACCEPT tcp lab * ::/0 ::/0 tcp spts:1024:65535 dpt:25 flags:0x16/0x02

Das Problem ist, dass statefull (ip6tables --append lab-in -i lab -p tcp -m
state --state NEW --destination-port 25 -j ACCEPT) eben NICHT matcht, nur das
stateless Ziel (nächste Zeile) matcht.

Was habe ich übersehen? Liegt es bei mir oder gibt es noch spezielle andere
Randbedingungen?
--------------- cut here --------------------------

Ursache war/ist, dass das unified connection tracking eine explizite Kerneloption ist, welche vorhanden sein muss, was bei (diesem) Distributionskernel nicht der Fall ist.

Leider ist die Dokumentation zu diesem Thema sehr dünn.

[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
Umfrage

Welche Distribution verwenden Sie?

 A) Fedora Core
 B) SuSE
 C) Debian
 D) Mandriva
 E) Red Hat Enterprise Linux
 F) SuSE Enterprise Linux
 G) Slackware
 H) Ubuntu
 I) Gentoo
 J) Andere


Latest News
17 Oct 2008: Neue Schulung: Netzwerküberwachung mit Nagio...
17 Oct 2008: Neue Schulung: Virtualisierung mit KVM
24 Sep 2008: Business-Online Messe in Münster
24 Sep 2008: Eröffnungskonferenz am 25. September 2008
28 Aug 2008: Zertifizierung nach LPIC-3
Weitere News...

Login
eMail


Passwort
© 2002-2005 Ralf Spenneberg, OpenSource Security, Germany