LINUX.ORG.RU

Firehol (iptables) problem with MAC filtering on Debian 7 (wheezy)


0

1

На Debian 6 (sqeeze) работало нормально несколько лет, но после апгрейда на Debian 7 перестало.

iptables возвращает exit code like 1 or 2

К примеру, есть строки (XX - замена): AlexWorkstationIP=«192.168.0.2»; AlexWorkstationMAC=«00:XX:XX:XX:XX:XX» mac $AlexWorkstationIP $AlexWorkstationMAC;

Выводит сообщения об ошибках:

root@home /etc/firehol > service firehol restart [....] Restarting Firewall configuration:dircolors: no SHELL environment variable, and no shell type option given

-------------------------------------------------------------------------------- ERROR : # 1. WHAT : A runtime command failed to execute (returned error 2). SOURCE : line 5 of /etc/firehol/firehol.conf COMMAND : /sbin/iptables -t filter -A INPUT -s 192.168.0.2 -m mac --mac-source \! 00:XX:XX:XX:XX:XX -j WRONGMAC OUTPUT :

-------------------------------------------------------------------------------- ERROR : # 2. WHAT : A runtime command failed to execute (returned error 2). SOURCE : line 5 of /etc/firehol/firehol.conf COMMAND : /sbin/iptables -t filter -A FORWARD -s 192.168.0.2 -m mac --mac-source \! 00:XX:XX:XX:XX:XX -j WRONGMAC OUTPUT :

failed!

если закоментировать строки MAC, то ошибки исчезают, т.е. в общем и целом iptables и firehol работают, может, какого модуля ядра не хватает? пробовал подгрузить: arptable_filter.ko arp_tables.ko arpt_mangle.ko

не помогло или синтаксис iptables поменялся?

в каталоге есть модули: ls /lib/modules/3.2.0-4-amd64/kernel/net/ipv4/netfilter/ arptable_filter.ko iptable_raw.ko ipt_LOG.ko nf_defrag_ipv4.ko nf_nat_proto_dccp.ko arp_tables.ko iptable_security.ko ipt_MASQUERADE.ko nf_nat_amanda.ko nf_nat_proto_gre.ko arpt_mangle.ko ip_tables.ko ipt_NETMAP.ko nf_nat_ftp.ko nf_nat_proto_sctp.ko ip_queue.ko ipt_ah.ko ipt_REDIRECT.ko nf_nat_h323.ko nf_nat_proto_udplite.ko iptable_filter.ko ipt_CLUSTERIP.ko ipt_REJECT.ko nf_nat_irc.ko nf_nat_sip.ko iptable_mangle.ko ipt_ecn.ko ipt_ULOG.ko nf_nat.ko nf_nat_snmp_basic.ko iptable_nat.ko ipt_ECN.ko nf_conntrack_ipv4.ko nf_nat_pptp.ko nf_nat_tftp.ko

загружены: root@home ~ > lsmod | grep arp arpt_mangle 12459 0 arptable_filter 12540 0 arp_tables 21814 1 arptable_filter x_tables 19118 13 ip_tables,iptable_filter,iptable_mangle,xt_mark,xt_tcpudp,xt_limit,ipt_LOG,xt_state,iptable_nat,ipt_MASQUERADE,arp_tables,arptable_filter,arpt_mangle

root@home ~ > lsmod | grep ip ipt_MASQUERADE 12594 2 iptable_nat 12928 1 nf_nat 18242 4 iptable_nat,ipt_MASQUERADE,nf_nat_irc,nf_nat_ftp ipt_LOG 12605 30 iptable_mangle 12536 1 nf_conntrack_ipv4 14078 140 nf_nat,iptable_nat nf_defrag_ipv4 12483 1 nf_conntrack_ipv4 nf_conntrack 52720 10 nf_conntrack_ipv4,xt_state,nf_nat,iptable_nat,ipt_MASQUERADE,nf_conntrack_irc,nf_conntrack_ftp,nf_conntrack_tftp,nf_nat_irc,nf_nat_ftp iptable_filter 12536 1 ip_tables 22042 3 iptable_filter,iptable_mangle,iptable_nat x_tables 19118 13 ip_tables,iptable_filter,iptable_mangle,xt_mark,xt_tcpudp,xt_limit,ipt_LOG,xt_state,iptable_nat,ipt_MASQUERADE,arp_tables,arptable_filter,arpt_mangle

★★

Сотри это дерьмо, почитай про форматирование текста (ссылка под полем ввода) и сделай нормальный вопрос.

anonymous
()
Ответ на: комментарий от anonymous

iptables возвращает exit code 2

К примеру, в firehol.conf есть строки (XX - замена):
AlexWorkstationIP=«192.168.0.2»;
AlexWorkstationMAC=«00:XX:XX:XX:XX:XX»;
mac $AlexWorkstationIP $AlexWorkstationMAC;

Выводит сообщения об ошибках:

root@home /etc/firehol > service firehol restart [....]
Restarting Firewall configuration:dircolors: no SHELL
environment variable, and no shell type option given

ERROR : # 1. WHAT : A runtime command failed to execute (returned error 2).
SOURCE : line 5 of /etc/firehol/firehol.conf
COMMAND : /sbin/iptables -t filter -A INPUT -s 192.168.0.2 -m mac --mac-source \! 00:XX:XX:XX:XX:XX -j WRONGMAC OUTPUT :

ERROR : # 2. WHAT : A runtime command failed to execute (returned error 2).
SOURCE : line 5 of /etc/firehol/firehol.conf
COMMAND : /sbin/iptables -t filter -A FORWARD -s 192.168.0.2 -m mac --mac-source \! 00:XX:XX:XX:XX:XX -j WRONGMAC OUTPUT :
failed!

sanyock ★★
() автор топика
Ответ на: комментарий от vel

о, спасибо! сообщу афтару firehol, а сам пока буду прямыми «асемблерными» iptables вставками выкручиваться :-)

sanyock ★★
() автор топика
Ответ на: комментарий от sanyock

посмотрите, пожалуйста, еще это, уже не так критично:
mark 3 OUTPUT mark 0 uid direct_con;
http://firehol.sourceforge.net/commands.html?#mark

[....] Restarting Firewall configuration:


ERROR : # 1.
WHAT : A runtime command failed to execute (returned error 2).
SOURCE : line 41 of /etc/firehol/firehol.conf
COMMAND : /sbin/iptables -t mangle -A OUTPUT -m owner --uid-owner direct_con -m mark --mark 0 -j mark.11
OUTPUT :

failed!



забавно, но в форке sanewall те же баги

sanyock ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.