LINUX.ORG.RU
default Gateway ?
samba password expired

опции в .config должны быть такими CONFIG_NETFILTER=y CONFIG_FILTER=y CONFIG_IP_NF_IPTABLES=y и естествено после этого уже будет CONFIG_IP_NF_MATCH_OWNER=y

и только после этого можно будет использоветь ipt_owner

anonymous
()

я прикручивал iptquota из path-o-matic к iptables 1.2.8, забыл как точно делал, но вроде вот так:
распаковал path-o-matic.
Защёл в каталог куда распаковал и сделал так:
./runme pending
Там отвечаешь на вопросик, где твои сырцы ядра. Дальше скрипт добавит то что надо, спрашивать тебя ни о чем не будут, не знаю в pending есть ли твой iptowner, если нет, потом сделай:
./runme base
Он опять о пути к сырцам спросит, ну и потом для каждого модуля будет тебя спрашивать, нужен он или нет. На сколько помню, вроде iptowner там и был...

ну а потом конфигури ядро.

После пересборки ядра не забудь пересобрать iptables. А вообще если я что то не так написал, то там в path-o-matic есть readme.

anonymous
()

хотя щас вот посмотрел ipt_owner с ядром идёт и path-o-matic для него не нужен.

anonymous
()

Спасибо за помощь! Весьма странно, ядро последнее, в конфиге (make menuconfig) включил все, что можно было в настройках нетфильтр, но этой опции не появилось :( Я зделал как советовал spirit, т.е. добавил эту строчку в крнфиг. Все заработало. P.S. А почему ICMP пакеты (во всяком случае ping) создаются без владельца? Т.е. пинговать может кто угодно, это написано в howto k iptables.

anonymous
()

> в конфиге (make menuconfig) включил все
В том-то прикол и заключается :-) Эта вещь значится как experimental, т.е. не стабильная, в процессе разработки. Поэтому и не отображается в make menuconfig, а в make xconfig отображается как не доступная (или не активная).... приходится руками.

> Т.е. пинговать может кто угодно
Не претендую на правильность ответа, но посмотрите на права к программе ping. У меня, например, на ней стоит бит SUID. Поэтому, на сколько я понимаю, ping-овать может только root. А для того, чтоб могли еще и другие, на ping как раз и ставится SUID. Но тогда кто б не пинговал, программа ping всегда будет запущена под одним и тем же пользователем - root, следовательно сделать разграничения на уровне модуля OWNER в iptables не выйдет. Управлять доступом надо на уровне прав на запуск файла.

spirit ★★★★★
()

Спасибо за разъяснения, полностью с вами согласен.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
default Gateway ?
Admin
samba password expired