- 论坛徽章:
- 0
|
成功编译并使用中,但state模块不能使用,请教LZ!
我用的是centos 5.1 (本人新手,刚学习iptables两周,LZ请勿见笑)
内核版本是 2.6.18-53.el5
iptables的版本是1.3.5
以下是我安装的包
kernel-2.6.18-53.el5.src.rpm
l7-protocols-2008-02-20.tar.gz
netfilter-layer7-v2.17.tar.gz
ipp2p-0.99.15.tar.gz
iptables-1.3.5.tar.bz2
***patch-o-matic-ng-20080411.tar.bz2*** (此包我并没有安装,因为不需要TIME之类的模块,不知道因为这个是不是埋下了祸根)
我编译的时候是这样
make menuconfig NF下的各个选项和模块选好后
make modules_prepare
make M=net/ipv4/netfilter
把模块cp 到 /lib/modules/2.6.18-53.el5/kernel/net/ipv4/netfilter/
chmod +x /lib/modules/2.6.18-53.el5/kernel/net/ipv4/netfilter/*.ko
depmod -a
重新编译内核中的相关模块后,基本功能正常·~但是使用
模块连接跟踪时
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: Unknown error 4294967295
提示错误啊 ··其他模块都可以啊· ·就state不能用~~很是郁闷·请教LZ达人!!
dmesg 后,显示如下:
Netfilter messages via NETLINK v0.30.
ip_conntrack version 2.4 (2047 buckets, 16376 max) - 240 bytes per conntrack
IPP2P v0.99.15 loading
hda: drive_cmd: status=0x51 { DriveReady SeekComplete Error }
hda: drive_cmd: error=0x04 { DriveStatusError }
ide: failed opcode was: 0xb0
eth1: no IPv6 routers present
eth0: no IPv6 routers present
eth0: link down
eth0: link up, 100Mbps, full-duplex, lpa 0x45E1
eth0: Promiscuous mode enabled.
device eth0 entered promiscuous mode
device eth0 left promiscuous mode
eth1: Promiscuous mode enabled.
device eth1 entered promiscuous mode
device eth1 left promiscuous mode
eth0: Promiscuous mode enabled.
device eth0 entered promiscuous mode
device eth0 left promiscuous mode
xt_state: disagrees about version of symbol ip_conntrack_untracked
xt_state: Unknown symbol ip_conntrack_untracked
以下是我的脚本:
tc qdisc dev eth0 root 2>/dev/null
tc qdisc add dev eth0 root handle 1: htb r2q 1
tc class add dev eth0 parent 1: classid 1:1 htb rate 8000kbit burst 10k
tc filter add dev eth0 parent 1: protocol ip prio 16 u32 match ip dst 192.168.1.0/24 flowid 1:1
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -A FORWARD -p tcp -m ipp2p --edk --kazaa --gnu --bit --apple --soul --xunlei --pp -j DROP
/sbin/iptables -A FORWARD -p udp -m ipp2p --edk --kazaa --gnu --bit --apple --soul --xunlei --pp -j DROP
/sbin/iptables -A FORWARD -p tcp -m ipp2p --xunlei -j DROP
/sbin/iptables -A FORWARD -p udp -m ipp2p --xunlei -j DROP
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p udp -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -m limit --limit 500/s -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.1.0/24 -j DROP
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE |
|