ip6tables und connection tracking - rev3017

[crazyPower]

Hallo,

ich habe mir heute die rev3017 mit IPv6 unterstützung gebaut. Der Tunnel kommt hoch, radvd verteilt das Prefix.

Jetzt möchte ich aber auf der FB die v6 Tables nutzen um den gesamten v6 Traffic stateful zu filtern. Dafür bräuchte ich ein conntrack oder state modul - die konnte ich zwar im "make menuconfig" auswählen, aber das modul x_tables fehlt...

Habe ich was übersehen, oder ist das noch Baustelle?

cp

 

[olistudent]

Hi.
Warum hast du keine Signatur?

MfG Oliver

 

[crazyPower]

uups,

mich hat gerade ein Zaunpfahl getroffen

 

[olistudent]

Kernel 2.6.13.1 hat kein x_tables!?

MfG Oliver

 

[crazyPower]

Hi olistudent,

was kann ich tun, damit ich connectiontrackung mit ipv6 nutzen kann? Andere Revision auschecken?

cp

 

[olistudent]

Ich kenn mich mit iptables nicht aus. Aber der Kernel kann connectiontracking, auch mit ipv6. Du musst dich nur schlau machen wie das funktioniert. ;-)

MfG Oliver

 

[cando]

man muss alle module mit modprobe laden, bevor man iptables benutzen kann...

# modprobe x_tables

 

[hermann72pb]

@crazyPower: Du weißt sicherlich, dass 7170 Probleme mit conntrack hat? Auf 7270 sollte laut cuma IPTABLES dagegen stabil laufen. Wäre es für dich nicht sinnvoller irgendwie an eine 7270 zu kommen? Die Box hat einen neueren Kernel, was man bei 7170 höchstwahrscheinlich nicht mehr bekommen wird.

MfG

 

[crazyPower]

man muss alle module mit modprobe laden, bevor man iptables benutzen kann...

# modprobe x_tables

Hallo,

x_tables ist nicht auf der Box (hatte ich im ersten Post schon geschrieben).

Offensichtlich hat der kernel entgegen der aussage von olistudent doch keine unterstützung für connectiontracking.
Ich habe mal auf der netfilter ml nach gefragt:

The new netfilter conntrack aka 'nf_conntrack' supporting IPv6 connection tracking was added in the mainline kernel version 2.6.15. However it lacked IPv4 NAT support (and support for "complex" protocols except FTP) until version 2.6.20, so meanwhile you had to choose between IPv6 connection tracking provided by 'nf_conntrack' and IPv4 NAT provided by the old IPv4-only conntrack aka 'ip_conntrack'.

For kernel versions earlier that 2.6.15, an 'nf_conntrack' patchlet was available in the patch-o-matic-ng until patch-o-matic-ng-20050918. However it probably had a number of bugs which were corrected after being merged in the mainline kernel.

x_tables was added in the mainline kernel version 2.6.16. It is not related to nf_conntrack.

also wohl keine Chance das hinzubekommen. Schade...

cp

 

[Silent-Tears]

Das heisst noch lange nicht, dass avm da nicht was verkrautet hat und doch irgendwas drin landet von Um das rauszubekommen, hilft allerdings wirklich nur suchen und testen.

 

[crazyPower]

hi,
dann müsste aber das modul nf_conntrack vorhanden sein, oder nicht?

cp

 

[Silent-Tears]

Nur, wenn es auch gebaut wird

 

[cando]

Schon mal mit der option replace kernel und

 make kernel-dirclean
 make kernel-menuconfig
 make kernel-precompiled

probiert? ich habe bei meiner 7270 so den ULOG für iptables freischalten müssen.

 

[crazyPower]

Hi,
danke für den hinweis. Ich habe es mal probiert, aber keinerlei module gefunden die das ermöglichen. Ich schau mal ob ich was patchen kann...

cp