Всем доброго времени суток.
Появилась такая необходимость в сборке из сорцов пакета iptables для ванильного ядра версии 2.6.27.53.
Собирается всё через самосборный toolchain, состоящий из: uClibc-0.9.29, arm-linux-uclibc-{gcc,g++,cpp} - version (GCC) 4.2.4, arm-linux-uclibc-{ld,ar,strip} - version GNU ld (GNU Binutils) 2.18
процессор для которого это собиралось: Processor : ARM920T rev 0 (v4l) Микроконтроллер: AT91RM9200 http://www.gaw.ru/html.cgi/txt/ic/Atmel/micros/arm/AT91RM9200.htm
в качестве утилит используется busybox 1.18.5
Сначала собирал разные версии Iptables, но все попытки заканчивались различными ошибками: более подробно с выводами и кусками кода - можно посмотреть тут! (на лор не влезло «Ошибка: Слишком большое сообщение» 8E)
Решил собрать самую последнюю стабильную версию iptables 1.4.12
после попытки запуска на самом устройстве с ARM процессором, получаем следующую ошибку:
[root@Router7:/mnt/db/updates]# /mnt/db/iptables/sbin/iptables -L
iptables v1.4.3.2: can't initialize iptables table `filter': Invalid argument
Perhaps iptables or your kernel needs to be upgraded.ясно, что нужно копать в сторону модулей ядра:
lsmod
nf_conntrack_ftp 7296 0 - Live 0xbf054000
iptable_nat 5576 0 - Live 0xbf051000
nf_nat 17622 1 iptable_nat, Live 0xbf04b000
nf_conntrack_ipv4 14956 3 iptable_nat,nf_nat, Live 0xbf046000
nf_conntrack 67916 4 nf_conntrack_ftp,iptable_nat,nf_nat,nf_conntrack_ipv4, Live 0xbf034000
ipt_LOG 5440 0 - Live 0xbf02f000
iptable_raw 2208 0 - Live 0xbf032000
iptable_filter 2752 0 - Live 0xbf02d000
ip_tables 11472 3 iptable_nat,iptable_raw,iptable_filter, Live 0xbf029000
x_tables 15268 3 iptable_nat,ipt_LOG,ip_tables, Live 0xbf024000
но тут видно что модули подгружены и в логах также никаких проблем.
Дошёл до абсурда, пересобрал busybox c поддержкой dpkg утилиты и попробовал поставить пакет http://packages.debian.org/ru/lenny/arm/iptables, но только потом увидел зависимость от libc6, которого конечно у меня нет.
Начал пересобирать модули с оригинальных исходников для ядра 2.6.27.53, но также не получил должных результатов.
почти во всех случаях сборки, проблем с модулями нет - они корректно подгружаются, в
[root@Router7:/mnt/db/updates]# cat /proc/net/ip_tables_names
filterпосле этого решил пересобрать iptables c поддержкой дебаггинга, используя http://www.spinics.net/lists/netfilter-devel/msg00887.html и http://backreference.org/2010/06/11/iptables-debugging/, но также столкнулся с тем, что iptables не хочет писать ничего в kernel log.
Решил открыть тему типа баг http://bugzilla.netfilter.org/show_bug.cgi?id=734, но вряд ли ответ будет раньше, чем через месяц. Также там и представлены strace для этих ошибок и конфиг для ядра, но если нужно могу выложить их и тут
Ну после всего этого не найдя нормального решения, решил обратиться уже к тем, кто возможно сталкивался с подобными проблемами.
Судя по http://backreference.org/2010/06/11/iptables-debugging/, а точнее по последнему абзацу
Also, this could be generated in case you are trying to use a match that is not available, either because you did not load the proper module, it was not compiled into kernel or iptables failed to automatically load the module
возникает вопрос: а как вообще проверить то, что Iptables не может подгрузить модули? (хотя на самом деле модули он подгружает, потому что они не стоят в автозагрузке ядра)
В связи с этим следующий вопрос: может кто то включал дебаггинг по максимуму для iptables и модулей ядра для него.
Ну и может кто то собирал Iptables для таких нужд и возможно поделится опытом.
Буду очень признателен за любую помощь в этих вопросах и могу предоставить всё что попросите.
P.S. данный toolchain является рабочим, на нём были собраны другие пакеты, которые успешно работают. Также все вопросы по поводу обновления каких либо пакетов, не рассматриваются, т.к. это довольно трудоёмкая работа и нерентабельна для данного случая.
