LINUX.ORG.RU
ФорумAdmin

iptables LIMIT


0

0

Пытаюсь прописать правило:

iptables -A INPUT -m limit --limit 5/second --limit-burst 10 -j LOG --log-level debug --log-prefix "INPCK:"

на что он мне выдает:

iptables: No chain/target/match by that name

В чем может быть проблема? Вроде бы все, что касается netfiltering вкомпилено в ядро(2.6.28 Slackware 12.2). Сей пример взял отсюда http://www.opennet.ru/docs/RUS/iptables/

Ответ на: комментарий от Jaizer

root@darkstar:/home/maxx# lsmod Module Size Used by bsd_comp 4544 0 ppp_async 7008 1 crc_ccitt 1600 1 ppp_async

Я модулями не делал ничего из Netfiltering. Вот так: iptables -A INPUT -j LOG --log-level debug --log-prefix "INPCK:"

все прекрасно работает.

fallenstorm
() автор топика

iptables -m limit --help
iptables -j LOG --help
Выдают help по соответствующим модулям ? (раз с -j LOG правило отрабатывает - help должен быть)

spirit ★★★★★
()
Ответ на: комментарий от spirit

Я не в курсе какой модуль отвечает за Limit. раньше был модуль CONFIG_IP_NF_MATCH_LIMIT. Но в ядре 2.6.28 такого нету.

Вот листинг команды zcat /proc/config.gz|grep IP|grep -v "^#" http://pastebin.com/mdb16dfd

А вот zgrep -i limit /proc/config.gz:

root@darkstar:/lib/modules/2.6.28/kernel/net# zgrep -i limit /proc/config.gz CONFIG_INIT_ENV_ARG_LIMIT=32

fallenstorm
() автор топика
Ответ на: комментарий от fallenstorm

CONFIG_INIT_ENV_ARG_LIMIT - это явно не оно, у меня, например, выдаёт такое (ядро 2.6.19.2):
CONFIG_INIT_ENV_ARG_LIMIT=32
CONFIG_NETFILTER_XT_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_HASHLIMIT=m
CONFIG_IP_NF_MATCH_CONNLIMIT=m
Должно быть хотя бы что-то похожее на IP, NF, NETFILTER, XT_MATCH...
Похоже дело в конфигурации ядра, докомпилите этот модуль и всё заведётся

P.S. В 2.6.28 100% есть такое: CONFIG_NETFILTER_XT_MATCH_LIMIT (только что глянул на 2.6.28 ядре)

spirit ★★★★★
()
Ответ на: комментарий от spirit

Есть такое дело что тракинг и еще ряд опций нетфильтра поумолчанию не включены в ядре 2.6.28.
Подробней изучаем конфигу ядра, пересобираем -> заработает.

q4x2
()
Ответ на: комментарий от spirit

Не вижу таких модулей, хоть убейте:

root@darkstar:/usr/src/linux-2.6.28# cat .config|grep LIMIT CONFIG_INIT_ENV_ARG_LIMIT=32

Может я не оттуда ядро качаю? =) Вроде kernel.org

fallenstorm
() автор топика

Разобрался, я пропустил 2 пункта: Network packet filtering debugging и Advanced netfilter configuration Тогда появляются пункты о limit,connlimit и т.д.

fallenstorm
() автор топика
Ответ на: комментарий от fallenstorm

"Network packet filtering debugging" - никогда такое не включал :-)

spirit ★★★★★
()
Ответ на: комментарий от fallenstorm

>Разобрался, я пропустил 2 пункта: Network packet filtering debugging и
>Advanced netfilter configuration Тогда появляются пункты о

>limit,connlimit и т.д.

Вот дебагинг не нужен на мой взгляд (=, а в целом как я и говорил, главное внимательность, руки сами выпрямятся.

q4x2
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.