centos AS 3.8/AS 4.4,/RHEL 5.2 三种版本为iptables添加模块. 过程在5楼

crastyl

请问这些模块在modprobe.conf 可以正常加载吗。。新手。。还不行。具体谁给讲一下。。对模块这个东西还很生疏

ms04011

我是专门来收藏帖子的

dbsrv

不错不错。不过，谁知道最后提供那个在2.6.18-92.el5内核下的ko.zip是干嘛用的？？

zenglingping

原帖由 gearfox 于 2008-9-25 14:30 发表
楼主呀。。

重新启动服务器

键入  iptables -A INPUT -m ipp2p –edk –kazaa –bit -j DROP

提示
iptables: match `ipp2p' v1.3.5 (I'm v1.3..


是不是iptables升级的时候出错了？？？？

是 ...

一样的问题,奇怪了...

time & connlimit模块可用,但ipp2p则提示:]

1. #iptables -m ipp2p --help
   
2. iptables: match `ipp2p' v1.3.5 (I'm v1.3.8).

复制代码

zenglingping

原帖由 ylshjx 于 2008-10-10 09:33 发表




出现这样的情况可以把ipp2p里的make里这两个修改一下就可以编译过去

IPTABLES_SRC = $(wildcard /usr/src/iptables-$(IPTVER))替换成IPTABLES_SRC =  /usr/src/iptables-1.3.8
IPTABLES_VERSION =  ...

非常感谢,此问题已解决!

sxq5858

不错，，，感谢！！！

feieboy

ipp2p只要是1.3.8以下的，都可以支持，１.4.1有点问题

有点问题，我是新编译的内核2.6.27.7 支持connlimit，我用iptables-1.4.1/2都可以用，
但是用1.3.7出问题，Apr  2 07:54:30 localhost kernel: ip_tables: connlimit match: invalid size 32 != 16
我找了一下，提示说1.3.8解决此问题，我升级到1.3.8后不能用，提示：iptables: match `connlimit' v1.3.7 (I'm v1.3..
我后来，对比了一下，1.3.7和1.3.8中的 extensions/目录的内容，发现1.3.8中不支持connlimit这个扩展　

我试到下载iptables 1.4.1/2，安装好后，直接可以使用connlimit这个功能。



还有我下载了1.4.0这个版本　，无论如何编译都要出错，不知那个老大可以解释一下：

Extensions found:
cc -O2 -Wall -Wunused -I"/lib/modules/2.6.27.7/build"/include -I/usr/src/kernels/linux-2.6.27.7-smp-i686//include -Iinclude/ -DIPTABLES_VERSION=\"1.4.0\"  -fPIC -o extensions/libipt_ah_sh.o -c extensions/libipt_ah.c
In file included from include/libiptc/libiptc.h:7,
                 from include/iptables.h:5,
                 from extensions/libipt_ah.c:8:
include/linux/netfilter_ipv4/ip_tables.h:190: warning: no semicolon at end of struct or union
include/linux/netfilter_ipv4/ip_tables.h:190: error: syntax error before '*' token
include/linux/netfilter_ipv4/ip_tables.h:194: error: syntax error before '}' token
make: *** [extensions/libipt_ah_sh.o] 错误 1


我现在是很想用iptables 1.3.8+ipp2p+connlimit 这几个功能，但是在1.3.8下，connlimit不能用，有点气死人了，模块可以加载


[root@localhost extensions]# iptables -V
iptables v1.3.8

[root@localhost extensions]# iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT
iptables: match `connlimit' v1.3.7 (I'm v1.3..

[root@localhost extensions]# lsmod
Module                  Size  Used by
iptable_filter          7052  1
ip_tables              15512  1 iptable_filter
ipt_ipp2p              12552  0
xt_time                 7048  0
xt_connlimit            8208  0
parport_pc             28008  1
lp                     13736  0
parport                36508  2 parport_pc,lp
autofs4                21920  0
sunrpc                173360  3
ipt_REJECT              7176  1
nf_conntrack_ipv4      17184  5
xt_state                6280  5
xt_tcpudp               7432  6
x_tables               17932  7 ip_tables,ipt_ipp2p,xt_time,xt_connlimit,ipt_REJECT,xt_state,xt_tcpudp
microcode              13488  0
dm_mirror              21512  0


那个兄弟有时间看一下

疯癫二楞子

强贴。。感谢分享，正好最近好做访问限制。


http://ie.archive.ubuntu.com/sou ... -layer7-v2.9.tar.gz


layer7的地址变成这个了~~

[ 本帖最后由 疯癫二楞子 于 2009-8-5 15:55 编辑 ]

zenglingping

依照楼主的文章，其它模块没有问题，但使用layer7时有些错误，如下：

1. #  iptables -A FORWARD -m layer7 --l7proto qq  -m time --timestart 8:00 --timestop 17:30 --days Mon,Tue,Wed,Thu,Fri -m iprange --src-range 192.168.1.5-192.168.1.239 -m ipp2p --ipp2p -m ipp2p --xunlei -j DROP
   
2. scandir: No such file or directory
   
3. iptables v1.3.8: Couldn't open /etc/l7-protocols
   

复制代码

zenglingping

但使用iptables -m layer7 --help则没有错误：

49楼的错误不知是否是命令输入有些问题，测试命令是抄的楼主的，layer7的使用还不熟悉。

1. # iptables -m layer7 --help
   
2. iptables v1.3.8
   
3. 
   
4. Usage: iptables -[AD] chain rule-specification [options]
   
5.        iptables -[RI] chain rulenum rule-specification [options]
   
6.        iptables -D chain rulenum [options]
   
7.        iptables -[LFZ] [chain] [options]
   
8.        iptables -[NX] chain
   
9.        iptables -E old-chain-name new-chain-name
   
10.        iptables -P chain target [options]
    
11.        iptables -h (print this help information)
    
12. 
    
13. Commands:
    
14. Either long or short options are allowed.
    
15.   --append  -A chain            Append to chain
    
16.   --delete  -D chain            Delete matching rule from chain
    
17.   --delete  -D chain rulenum
    
18.                                 Delete rule rulenum (1 = first) from chain
    
19.   --insert  -I chain [rulenum]
    
20.                                 Insert in chain as rulenum (default 1=first)
    
21.   --replace -R chain rulenum
    
22.                                 Replace rule rulenum (1 = first) in chain
    
23.   --list    -L [chain]          List the rules in a chain or all chains
    
24.   --flush   -F [chain]          Delete all rules in  chain or all chains
    
25.   --zero    -Z [chain]          Zero counters in chain or all chains
    
26.   --new     -N chain            Create a new user-defined chain
    
27.   --delete-chain
    
28.             -X [chain]          Delete a user-defined chain
    
29.   --policy  -P chain target
    
30.                                 Change policy on chain to target
    
31.   --rename-chain
    
32.             -E old-chain new-chain
    
33.                                 Change chain name, (moving any references)
    
34. Options:
    
35.   --proto       -p [!] proto    protocol: by number or name, eg. `tcp'
    
36.   --source      -s [!] address[/mask]
    
37.                                 source specification
    
38.   --destination -d [!] address[/mask]
    
39.                                 destination specification
    
40.   --in-interface -i [!] input name[+]
    
41.                                 network interface name ([+] for wildcard)
    
42.   --jump        -j target
    
43.                                 target for rule (may load target extension)
    
44.   --goto      -g chain
    
45.                               jump to chain with no return
    
46.   --match       -m match
    
47.                                 extended match (may load extension)
    
48.   --numeric     -n              numeric output of addresses and ports
    
49.   --out-interface -o [!] output name[+]
    
50.                                 network interface name ([+] for wildcard)
    
51.   --table       -t table        table to manipulate (default: `filter')
    
52.   --verbose     -v              verbose mode
    
53.   --line-numbers                print line numbers when listing
    
54.   --exact       -x              expand numbers (display exact values)
    
55. [!] --fragment  -f              match second or further fragments only
    
56.   --modprobe=<command>          try to insert modules using this command
    
57.   --set-counters PKTS BYTES     set the counter during insert/append
    
58. [!] --version   -V              print package version.
    
59. 
    
60. LAYER7 match v1.3.8 options:
    
61. --l7dir <directory>  : Look for patterns here instead of /etc/l7-protocols/
    
62.                        (--l7dir must be specified before --l7proto if used!)
    
63. --l7proto [!] <name> : Match the protocol defined in /etc/l7-protocols/name.pat

复制代码