我经过反复的试验,终于成功了!
我没有编译整个内核,只编译了netfilter部分,内核沿用目前的即可,大大缩短了编译时间。
欢迎大家下载,有什么不足之处,恳请大家指出!
[ 本帖最后由 platinum 于 2007-3-16 12:12 编辑 ]
netfilter-extensions-HOWTO-CN.pdf
netfilter-extensions-HOWTO-VIDEO.part001.rar
netfilter-extensions-HOWTO-VIDEO.part002.rar
netfilter-extensions-HOWTO-VIDEO.part003.rar
netfilter-extensions-HOWTO-VIDEO.part004.rar
bjchenxu 回复于:2005-03-05 11:53:14
祝贺platinum功力大进,修成正果,呵呵
platinum 回复于:2005-03-05 12:26:27
chenxu哥又开我玩笑了 :em06:
零二年的夏天 回复于:2005-03-05 22:01:01
怎么最近流行pdf?
freeand 回复于:2005-03-05 23:15:39
2.6内核呢
haohaoo 回复于:2005-03-06 01:37:21
都用什么做PDF?
platinum 回复于:2005-03-06 03:02:24
因为一直处于观望状态,所以2.6的内核没研究过
我用的是PDF_FactoryPro210chs.exe来转的,虚拟出一个打印机来,直接打印输出成PDF就可以了
iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 8:00 --timestop 18:00 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -m string --string "sex" -j DROP
iptables -A FORWARD -s 192.168.1.0/24 -m ipp2p --edk --bit -j DROP
iptables -A FORWARD -m iprange --src-range 192.168.1.120-192.168.1.131 -j DROP
……
这些策略用起来真爽!
lukhxw 回复于:2005-03-06 06:14:06
platinum 兄,你的那个pdf 不能下呀!不大吧!
要不你发到我的 e-mail:lukhxw@gmail.com and lukhxw@21cn.com
ok!!!
llzqq 回复于:2005-03-06 09:03:08
祝贺啊,我要文档
wallace888 回复于:2005-03-06 09:03:11
我也下载不到了哈!希望能给我发一份哟!
game888◎yeah.net
llzqq 回复于:2005-03-06 09:13:59
现在能下了,嘿嘿
llzqq 回复于:2005-03-06 10:57:11
# make modules SUBDIRS=net/ipv4/netfilter
ip_nat_pptp.o ip_nat_pptp.c
ip_nat_pptp.c: In function `pptp_nat_expected':
ip_nat_pptp.c:131: too few arguments to function `ip_nat_setup_info_R8c274bd7'
make[1]: *** [ip_nat_pptp.o] Error 1
make[1]: Leaving directory `/usr/src nux-2.4.21-27.0.2.EL/net/ipv4/netfilter'
make: *** [_mod_net/ipv4/netfilter] Error 2
llzqq 回复于:2005-03-06 11:01:41
ip_nat_amanda.c: In function `amanda_nat_expected':
ip_nat_amanda.c:90: too few arguments to function `ip_nat_setup_info_R8c274bd7'
make[1]: *** [ip_nat_amanda.o] Error 1
make[1]: Leaving directory `/usr/src/linux-2.4.21-27.0.2.EL/net/ipv4/netfilter'
make: *** [_mod_net/ipv4/netfilter] Error 2
ydlhero 回复于:2005-03-06 11:24:29
支持 原创
platinum 回复于:2005-03-06 13:14:52
llzqq,升级你的modutils到最新的2.4.27试试
然后你直接这样,确保你系统没问题
1、make mrproper
2、make menuconfig(什么都不选,保存退出)
3、make dep
4、make modules SUBDIRS=net/ipv4/netfilter
如果有问题,就是系统自身的问题了
如果没问题,选择模块的时候尽量少,因为[color=red]有可能[/color]会造成冲突
lihn 回复于:2005-03-06 13:15:49
呵呵,有空试试
llzqq 回复于:2005-03-06 13:20:32
引用:原帖由 "platinum"]嵩斐沙逋
发表:
知道了,我试一下
llzqq 回复于:2005-03-06 14:39:47
安装IPTABLE是又出错了:
extensions/libip6t_random.c:144: request for member `save' in something not a structure or union
extensions/libip6t_random.c:144: initializer element is not constant
extensions/libip6t_random.c:144: (near initialization for `rand_match.print')
platinum 回复于:2005-03-06 15:06:09
我也遇到过
你看看extensions下已经编译出来的模块,然后直接cp到/lib/iptables里试试
这样的现象,根据我的经验,一般是iptables与内核源码模块冲突所致
另外,有可能iptables需要检查netfilter的ipv4和ipv6版本
所以你恐怕还要make modules SUBDIRS=net/ipv6/netfilter才行
惠繪洋 回复于:2005-03-06 15:06:18
謝謝樓主, 很好的參考文件. :)
ljily000 回复于:2005-03-06 15:34:37
引用:原帖由 "platinum" 发表:
iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 8:00 --t..........
看起来很爽哟!
platinum大哥能否讲讲iptables的这些扩展模块!
牙齿晒太阳 回复于:2005-03-06 15:34:38
引用:原帖由 "platinum" 发表:
因为抄袭,且恶意删除、篡改作者版权的人太多了 :em08:
而且这样保存文档比较方便 :em03:
solidconverter_pdf 可以将PDF转换成word。。。。
:em06: :em06: :em06:
platinum 回复于:2005-03-06 15:37:13
引用:原帖由 "牙齿晒太阳" 发表:
solidconverter_pdf &可以将PDF转换成word。。。。
:em06: :em06: :em06:
:shock:
:em16:
platinum 回复于:2005-03-06 15:38:36
引用:原帖由 "ljily000" 发表:
看起来很爽哟!
platinum大哥能否讲讲iptables的这些扩展模块!
这些东西,你可以去iptables-1.x.x/extensions里面,看他们的man文件
写的很详细
因为东西实在太多太多了,所以还是自己看的好
而且也可以锻炼自己的自学能力和英语阅读能力 :em06:
牙齿晒太阳 回复于:2005-03-06 15:48:32
引用:原帖由 "platinum" 发表:
因为一直处于观望状态,所以2.6的内核没研究过
我用的是PDF_FactoryPro210chs.exe来转的,虚拟出一个打印机来,直接打印输出成PDF就可以了
iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 8:00 --t..........
坏蛋阿 :em22: :em22: :em22:
網中人 回复于:2005-03-06 19:33:51
引用:原帖由 "platinum" 发表:
因为抄袭,且恶意删除、篡改作者版权的人太多了 :em08:
而且这样保存文档比较方便 :em03:
嗯... 問一下 platinum 兄:
請問你寫文檔的目的是甚麼呢?
若是推廣, 那, 我覺得你不必計較那些啊.
若是別的, 我就沒啥意見了....
一些個人心得啦. 別介意.
platinum 回复于:2005-03-06 19:50:44
是推广,主要是更便于保存
这样就不会再像原来一样“文件、另存为”了
且不用再复制URL过来、复制URL过去了
网兄说的对 :em02:
jiyu2004 回复于:2005-03-06 20:53:15
祝贺,要好好地研究一下了
platinum 回复于:2005-03-06 21:33:44
我这里没有环境
哪位再研究一下kernel 2.6.x的环境下的patch方式
llzqq 回复于:2005-03-07 11:50:53
# make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install
.......
extensions/libip6t_random.c:144: request for member `save' in something not a structure or union
extensions/libip6t_random.c:144: initializer element is not constant
extensions/libip6t_random.c:144: (near initialization for `rand_match.print')
make: *** [extensions/libip6t_random_sh.o] Error 1
lihn 回复于:2005-03-07 12:10:24
我的也是这个错误,还不如编译内核呢
platinum 回复于:2005-03-07 12:20:45
编译iptables时候出现的问题吧?
尝试编译ipv6模块,因为iptables在编译的时候需要调用kernel里面的ipv6库,所以,即使不使用ipv6,也仍然要
make modules SUBDIRS=net/ipv6/netfilter
然后再试试呢?
另外一个方法,如果编译到ipv6的时候出错,不要紧,因为ipv4的模块应该已经编译出来了,那么就先用普通升级iptables的方法,先升级iptables,然后用上面的方法再编译iptables,然后手动复制到/lib/iptables里面试试
shitian8848 回复于:2005-03-07 12:28:53
呵呵,谢谢白金兄的新点子,改天我也试试.
^-^
lihn 回复于:2005-03-07 14:34:30
我按照文档安装完后执行iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 8:00 --timestop 18:00 -j ACCEPT
提示我:
iptables v1.2.8: Couldn't load match `time':/lib/iptables/libipt_time.so: cannot open shared object file: No such file or directory
怎么解决?
Try `iptables -h' or 'iptables --help' for more information.
platinum 回复于:2005-03-07 14:37:18
引用:原帖由 "lihn" 发表:
我按照文档安装完后执行iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 8:00 --timestop 18:00 -j ACCEPT
提示我:
iptables v1.2.8: Couldn't load match `time':/lib/iptables/libipt_time.so: can..........
你的iptables里面编译出来的libipt_time.so没有复制到/lib/iptables里面
lihn 回复于:2005-03-07 14:46:18
呵呵,我把ipt_time编译到内核里了。在/lib/modules/2.4.21-15.EL/kernel/net/ipv4/netfilter/里。但还是提示:
Couldn't load match `time':/lib/iptables/libipt_time.so: cannot open shared object file: No such file or directory
platinum 回复于:2005-03-07 14:51:22
引用:原帖由 "platinum" 发表:
你的iptables里面编译出来的libipt_time.so没有复制到/lib/iptables里面
我说的不是内核,是iptables里面的模块
lihn 回复于:2005-03-07 16:10:21
引用:原帖由 "platinum" 发表:
编译iptables时候出现的问题吧?
尝试编译ipv6模块,因为iptables在编译的时候需要调用kernel里面的ipv6库,所以,即使不使用ipv6,也仍然要
make modules SUBDIRS=net/ipv6/netfilter
然后再试试呢?
那么就先用普通升级iptables的方法,先升级iptables,然后用上面的方法再编译iptables
另外一?.........
具体怎么升级iptables和编译?
platinum 回复于:2005-03-07 16:46:16
里面有INSTALL,可以看看
speed_fj 回复于:2005-03-07 17:21:14
支持
platinum 回复于:2005-03-07 23:12:09
那个文档我又修改了,现在是2.1版本,又增加了2个例子和一堆FAQ,相信遇到问题的朋友这下能解决了 ^_^
lihn 回复于:2005-03-08 10:20:54
2。6内核如何做?
llzqq 回复于:2005-03-08 11:57:29
终于做圆满了,多谢白金兄弟啊
platinum 回复于:2005-03-08 12:01:43
你的最后是什么问题?怎么解决的?问题在我那个FAQ的范围之内吗?
llzqq 回复于:2005-03-08 12:03:15
一部分在FAQ,一部分自己解决的
llzqq 回复于:2005-03-08 12:03:52
QQ
platinum 回复于:2005-03-08 12:05:35
好,你QQ里告诉我,然后我再完善一下文档
llzqq 回复于:2005-03-08 12:06:58
不能确定我的做法是正道!
platinum 回复于:2005-03-08 12:09:08
我的FAQ里面也很多可能不是正道,不过确实能解决
稍等,我在甲方这里调网呢,QQ正在下载中……
lihn 回复于:2005-03-08 12:09:20
讲讲详细过程啊
platinum 回复于:2005-03-08 12:35:15
http://www.netfilter.org/files/changes-iptables-1.3.1.txt
引用:
iptables v1.3.1 Changelog
======================================================================
This version requires kernel >;= 2.4.4
This version recommends kernel >;= 2.4.18
Bugs fixed from 1.3.0:
- Fix CLUSTERIP rule deletion
[ Pablo Neira ]
- Fix libip6t_random compilation
[ Harald Welte ]
- Fix CONNMARK on 32bit userspace / 64bit kernel archs
[ Pablo Neira ]
Changes from 1.3.0:
- remove bogus NFC_* stuff in iptables
[ Pablo Neira ]
- libiptc: don't sort builtin chains, restores iptables-1.2.x sort order
[ Olaf Rempel ]
Please note: Since version 1.2.7a, patch-o-matic is now no longer part of
iptables but rather distributed as a seperate package
(ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot)
看来那个FAQ里面写的random的IPV6模块的问题,是iptables-1.3.0造成的,现在出了1.3.1,弥补了这个BUG
llzqq遇到的问题也类似,但不是那个模块
大家换用iptables-1.3.1应该会好些
mb 回复于:2005-03-09 09:27:18
大家弄弄2.6内核吧
hongfengyue 回复于:2005-03-09 10:07:16
我来作2.6的,完成后告诉大家。
估计明天有空
platinum 回复于:2005-03-09 10:16:38
kernel 2.6.x HOWTO就交给红桃K了 :em02:
mb 回复于:2005-03-09 10:37:08
:D 期待着
lihn 回复于:2005-03-09 15:29:52
我全部编译完成后运行:
iptables -A FORWARD -s 192.168.1.0/24 -m ipp2p --edk --bit -j DROP
提示我iptables v1.3.1: Couldn't load match `ipp2p':/usr/local/lib/iptables/libipt_ipp2p.so: cannot open shared object file: No such file or directory
但我把模块安装到了/lib/iptables里面了。模块文件也有啊。
mb 回复于:2005-03-09 15:40:04
你编译iptables了?
cp到 /usr/local/lib/iptables/ 下
mb 回复于:2005-03-09 15:43:41
2.6内核上开门不顺呀 :em10:
make modules SUBDIRS=net/ipv4/netfilter
scripts/Makefile.build:36: kbuild: net/ipv4/netfilter/Makefile - Usage of export-objs is obsolete in 2.6. Please fix!
Building modules, stage 2.
MODPOST
lihn 回复于:2005-03-09 15:44:55
已经cp到 /usr/local/lib/iptables/ 下了。还是不行
而且运行 iptables -L时候提示:
iptables v1.3.1: can't initialize iptables table `filter': Module is wrong version
Perhaps iptables or your kernel needs to be upgraded.
platinum 回复于:2005-03-09 15:45:52
引用:原帖由 "lihn" 发表:
我全部编译完成后运行:
iptables -A FORWARD -s 192.168.1.0/24 -m ipp2p --edk --bit -j DROP
提示我iptables v1.3.1: Couldn't load match `ipp2p':/usr/local/lib/iptables/libipt_ipp2p.so: cannot open sha..........
iptables的Makefile好像有BUG,虽然指定了LIB=/sbin,但是有时候还会装到/usr/local/lib下
所以我在文档里加了一步ln -s /lib/iptables /usr/local/lib/iptables
你一定没做这步吧?
hongfengyue 回复于:2005-03-09 15:52:03
kernel 2.6开门不顺呀!!
首先string 这个好功能不支持kernel2.6的内核,气死我了!!!!!!!!!
还在进一步研究中,发现编译iptables会产生很多错误。
明天搞了。
lihn 回复于:2005-03-09 17:10:58
引用:原帖由 "platinum" 发表:
iptables的Makefile好像有BUG,虽然指定了LIB=/sbin,但是有时候还会装到/usr/local/lib下
所以我在文档里加了一步ln -s /lib/iptables /usr/local/lib/iptables
你一定没做这步吧?
ln -s /lib/iptables /usr/local/lib/iptables也运行了。
我把/lib/iptables下的libipt_ipp2p.so /usr/local/lib/iptables/ 里就可以运行iptables -A FORWARD -s 192.168.1.0/24 -m ipp2p --edk --bit -j DROP
但是执行iptables -I INPUT -p tcp --dport 23 -m iplimit --iplimit-above 2 -j REJECT是提示:
Segmentation fault
怎么解决?
platinum 回复于:2005-03-09 17:20:59
ipp2p能用,证明没问题
iplimit不行,可能是因为你没打好那个patch
有的patch确实不能用
我只打了几个:
ipp2p、connlimit、iprange、NETMAP、time、string、l7-layer、geoip
其他我用不到都没加进去,否则容易出乱子
个人感觉,最有用的是ipp2p、iprange、time、string、geoip、l7-layer
connlimit和NETMAP用的不多,但是也会用到
lihn 回复于:2005-03-09 17:23:03
既然pp2p,time,iprange等能用,那iplimit也应该能用啊。而且在安装过程中也没提示我iplimit模块出错的
platinum 回复于:2005-03-09 17:32:36
我刚才查了一下netfilter网站,你确定你说的是“iplimit”?
我怎么没查到那个模块呢?
lihn 回复于:2005-03-09 17:42:48
那我怎么能查看我的iptables加载了那些模块?
还有iptables -I INPUT -p tcp --dport 23 -m connlimit --connlimit-above 2 -j REJECT
和iptables -I INPUT -p tcp --dport 23 -m iplimit --iplimit-above 2 -j REJECT 有什么区别?
iptables -I INPUT -p tcp --dport 23 -m connlimit --connlimit-above 2 -j REJECT可以正常运行
platinum 回复于:2005-03-09 17:46:49
所有的模块的源代码都在iptables源码的extensions目录下
lihn 回复于:2005-03-09 17:49:32
明白了,如果想限制每个ip的连接数应该用connlimit
lihn 回复于:2005-03-10 11:41:37
ipp2p好像不能限制BT啊。一点作用都没有!
platinum 回复于:2005-03-10 11:50:43
不要说的那么绝对
是ipp2p不行,还是你不行?
我试过,没问题的
不知道你是怎么试的
platinum 回复于:2005-03-10 11:54:01
引用:
This module matches certain packets in P2P flows. It is not
designed to match all packets belonging to a P2P connection -
use IPP2P together with CONNMARK for this purpose. Also visit
http://www.ipp2p.org for detailed information.
Use it together with -p tcp or -p udp to search these protocols
only or without -p switch to search packets of both protocols.
IPP2P provides the following options:
.TP
.B "--edk "
Matches as many eDonkey/eMule packets as possible.
.TP
.B "--kazaa "
Matches as many KaZaA packets as possible.
.TP
.B "--gnu "
Matches as many Gnutella packets as possible.
.TP
.B "--dc "
Matches as many Direct Connect packets as possible.
.TP
.B "--bit "
Matches BitTorrent packets.
.TP
.B "--apple "
Matches AppleJuice packets.
.TP
.B "--soul "
Matches some SoulSeek packets. Considered as beta, use careful!
.TP
.B "--winmx "
Matches some WinMX packets. Considered as beta, use careful!
.TP
.B "--ares "
Matches Ares and AresLite packets. Use together with -j DROP only.
.TP
.B "--ipp2p "
Short hand for: --edk --kazaa --gnu --dc
.TP
.B "--debug "
Prints some information about each hit into kernel logfile. May
produce huge logfiles so beware!
引用:
Detects some P2P packets
Author: Eicke Friedrich <ipp2p@ipp2p.org>;
Status: Stable
This option makes possible to match some P2P packets
therefore helps controlling such traffic. Dropping all
matches prohibits P2P networks. Combined with conntrack,
CONNMARK and a packet scheduler it can be used for
accounting or shaping of P2P traffic.
Examples:
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
hongfengyue 回复于:2005-03-10 12:24:46
http://bbs.chinaunix.net/forum/viewtopic.php?t=508312&show_type=new
上面是iptables添加模块在kernel 2.6的环境中,希望大家指正。
谢谢!!
platinum 回复于:2005-03-10 12:26:13
红桃K,搞定了??
hongfengyue 回复于:2005-03-10 12:46:42
嗯,就是string模块不能使用。气死我了。
lihn 回复于:2005-03-10 13:15:38
能发个iptables的脚本吗?可以是我的教本有问题
platinum 回复于:2005-03-13 13:50:53
更新了一下安装手册
新添加了一个视频教程
这样就更直观了(详见顶楼贴子)
LEOD 回复于:2005-03-14 11:41:39
引用:原帖由 "platinum" 发表:
因为一直处于观望状态,所以2.6的内核没研究过
我用的是PDF_FactoryPro210chs.exe来转的,虚拟出一个打印机来,直接打印输出成PDF就可以了
iptables -A FORWARD -s 192.168.1.0/24 -m time --timestart 8:00 --t..........
这些都加起来CPU的利用率怎么样?
platinum 回复于:2005-03-14 12:18:26
string、l7-layer比较耗费CPU
具体耗费多少,我没统计过,但是一定和数据包流量有关,也和策略的顺序(执行效率)有关
nj130 回复于:2005-03-16 12:57:27
很好。。。。顶。。。。
ht11 回复于:2005-03-24 21:49:50
好帖!!!强~~~终于找到了,已经感动的无以伦比了- -看PDF和视频去了,哇哈哈!!!!
wchun 回复于:2005-05-30 11:42:48
原有系统上的iptables rpm要不要删?
rpm -e iptables
提示redhat-config-secure依赖
yzr963229cu 回复于:2005-05-31 01:28:23
我的编译成功了,但重启RH3系统,提示iptables出错,NAT共享上网这一句有问题(如下)
-A POSTROUTING -s 192.168.20.0/24 -o ppp0 -j MASQUERADE
但这个在添加模块前是正确的,能提供NAT共享上网啊?
yzr963229cu 回复于:2005-05-31 08:08:21
添加模块后iptables能用webmin进行配置么?
我自逍遥 回复于:2005-05-31 08:33:51
祝贺一下。已收。
wchun 回复于:2005-05-31 10:13:58
引用:原帖由 "yzr963229cu" 发表:
我的编译成功了,但重启RH3系统,提示iptables出错,NAT共享上网这一句有问题(如下)
-A POSTROUTING -s 192.168.20.0/24 -o ppp0 -j MASQUERADE
但这个在添加模块前是正确的,能提供NAT共享上网啊?
看看这里!
http://bbs.chinaunix.net/forum/viewtopic.php?t=544835
yzr963229cu 回复于:2005-05-31 15:02:15
问题解决,信息太多,一些重要的没看到,其实我已经收集到了,谢谢各位!
但,还有个问题:
“添加模块后iptables能用webmin进行配置么?好像webmin里面没什么变化?比如iprage怎么在webmin中设置”
platinum 回复于:2005-05-31 15:31:12
引用:原帖由 "yzr963229cu" 发表:
问题解决,信息太多,一些重要的没看到,其实我已经收集到了,谢谢各位!
但,还有个问题:
“添加模块后iptables能用webmin进行配置么?好像webmin里面没什么变化?比如iprage怎么在webmin中设置”
举个例子好了
假如学校购买了一批校服,都是标准码(无一例外),而偏偏你是一个大胖子
试问,那些衣服你能穿吗?
yzr963229cu 回复于:2005-05-31 20:56:03
platinum,很高兴你回复,webmin现在版本是不是还不支持这个?
platinum 回复于:2005-05-31 20:58:03
很抱歉,webmin 这个东西,我从来不碰的 ^_^
yzr963229cu 回复于:2005-06-01 10:46:07
觉得刚入门,用用webmin挺好
fukong 回复于:2005-09-15 17:24:48
RHEL AS4 的,谁解决过吗?碰到好多问题啊
wangdan 回复于:2005-09-19 21:42:41
我做这个主要目的是为了防止DDOS攻击,AS3.0-U5的iptables没有connlimit模块。
iptables和natfilter升级没有出错。
但运行以前一直使用的防火墙脚本却报错了,如下:
modprobe: Too deep recursion in module dependencies!
modprobe: Circular dependency? ip_nat_proto_udp ip_conntrack ip_nat_core ip_nat_helper ip_nat_ftp
./rc.fw: line 4: 2741 Aborted /sbin/modprobe ip_nat_ftp
iptables: No chain/target/match by that name
请问这是什么原因呢?
谢谢各位大大 !
platinum 回复于:2005-09-19 21:45:52
1、这个错误在 FAQ 里面有提到,也有解决方案
2、connlimit 不能满足你的需求,为什么呢?去了解一下 DDoS 攻击原理,然后看看 connlimit 的介绍
joecen 回复于:2005-09-19 23:08:36
引用:原帖由 "wangdan" 发表:
我做这个主要目的是为了防止DDOS攻击,AS3.0-U5的iptables没有connlimit模块。
iptables和natfilter升级没有出错。
但运行以前一直使用的防火墙脚本却报错了,如下:
modprobe: Too deep recursion in module d..........
只使用connlimit不能防止DDOS攻击。对于DDos攻击暂时还没有听说能防止的,都是抵御的居多。
如果结合u32模块,应该能抵抗一部分TCP Flood的攻击。
wangdan 回复于:2005-09-20 12:24:41
那可真是郁闷了,前几天和朋友聊起DDOS,就那网吧的服务器实验了一下。在网上随便下了几个 DDOS攻击软件,居然一攻击就掉线。
虽然说不能杜绝DDOS,但至少做些防范措施也好啊
看了你们的回复我已经没有信心了 。。。。
不过还是谢谢大大的回复!
sky_home 回复于:2005-09-20 15:32:18
我在用P-O-M打补丁的时候,一开始选了很多。但在编译前发现很多对我没有用。我只想用其中的TIME/IP RANGE/STRING,重新执行./runme base(extra)会发现那些不想要的都已经already applied。这些已经选上的怎么删除呢?
sandsoft 回复于:2005-12-20 08:05:54
如何将本地的消息复制到putty中
maxwell_81 回复于:2005-12-20 13:35:18
我的系统是rh9,选择全部安装,已经有源码了,命令uname-r显示:2.4.20-8 安装如下步骤进行:
获取最新iptables :wget http://www.netfilter.org/files/iptables-1.3.1.tar.bz2
解压:tar xjvf iptables-1.3.1.tar.bz2
获取最新patch-o-matic-ng的地址:ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/
[root@kindgeorge src] wget ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20050918.tar.bz2
解压: tar xjvf patch-o-matic-ng-20050918.tar.bz2
在下面操作之前可以把源码先保存一下
cd /usr/src
ls -al
scp -rp linux-2.4.20-8 kernel
(一).处理内核源码.
1. [root@kindgeorge src]# cd /usr/src/linux-2.4
2. [root@kindgeorge linux-2.4]# vi Makefile,
VERSION = 2
PATCHLEVEL = 4
SUBLEVEL = 20
EXTRAVERSION = -8custom
将“EXTRAVERSION = -8custom”改为“EXTRAVERSION = -8”
即:
VERSION = 2
PATCHLEVEL = 4
SUBLEVEL = 20
EXTRAVERSION = -8
3. [root@kindgeorge linux-2.4]# make mrproper
4. [root@kindgeorge linux-2.4]# make menuconfig ,什么都不做,直接保存退出.
为了生成.config 文件,否则以后会有问题
给netfilter打补丁
cd /usr/src/patch-o-matic-ng-20050918
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme string
执行后,会测试是否已经应用和提示你是否应用该模块,按"y"应用.然后继续下一个,默认是N
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme time
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme iprange
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme ipp2p
上面全部完成后,
cd /usr/src/linux-2.4
make menuconfig,确认
选择 code maturity level options->
*Prompt for development and/or incomplete code/drivers要选中
然后进入Networking options
再进入IP:Netfilter Configuration,会看到增加很多模块,每个新增的后面都会出现"NEW",把其想要的选中为模块"M"
保存、退出,至此,给netfilter打补丁工作完成
(三).编译netfilter模块
1.这里只需要编译netfilter,不需要编译整个内核和模块.这里我只需要ipv4的,ipv6我还没用到,所以不管了
cd /usr/src/linux-2.4
head -n4 Makefile
确认信息和uname -r 的版本一致,否则编译的模块不能被现有内核使用
make dep
make modules SUBDIRS=net/ipv4/netfilter
2.建立一个新目录备份原来模块,以防万一:
mkdir /usr/src/netfilter
cp /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/*.o??/usr/src/netfilter/
3.应用新的模块
cp -f /usr/src/linux-2.4/net/ipv4/netfilter/*.o /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/
4.更新你的modules.dep
depmod -a
当出现这个时,可以不用理会,因为ipchains, ipfwadm模块都没用,也可以把出错的删除.
depmod: *** Unresolved symbols in /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ipchains_core.o
depmod: *** Unresolved symbols in /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ipfwadm_core.o
rm -rf /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ipchains_core.o
rm -rf /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ipfwadm_core.o
depmod -a 再次执行后将会出现如下显示
depmod: *** Unresolved symbols in /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_fw_compat.o
rm -rf /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_fw_compat.o
再次执行depmod -a 直到没有错误提示。
(四).编译安装新的iptables
解压后有目录iptables-1.3.1
cd /usr/src/iptables-1.3.1
export KERNEL_DIR=/usr/src/linux-2.4
export IPTABLES_DIR=/usr/src/iptables-1.3.1
make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install
iptables -V 显示版本信息
三.安装完成,测试及应用
iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT
iptables -A OUTPUT -m time --timestart 8:00 --timestop 18:00 -j ACCEPT
iptables -A FORWARD -m string --string "sex" -j DROP
iptables -A FORWARD -m ipp2p --edk --bit -j DROP
iptables -nL
正常,用命令iptables -L显示iptables-1.3.1
maxwell_81 回复于:2005-12-20 13:37:40
但是在设计防火墙shell时,加载如下模块出现如下错误提示。
[root@localhost root]# /sbin/modprobe ip_nat_ftp
modprobe: Too deep recursion in module dependencies!
modprobe: Circular dependency? ip_nat_proto_udp ip_conntrack ip_nat_core ip_nat_helper ip_nat_ftp
已放弃
[root@localhost root]# /sbin/modprobe ipt_MASQUERADE
modprobe: Too deep recursion in module dependencies!
modprobe: Circular dependency? ip_nat_core ip_nat_proto_udp ip_conntrack ip_tables ipt_MASQUERADE
已放弃
为什么呀?
maxwell_81 回复于:2005-12-20 13:43:28
我主要是参考了如下资料做的:
netfilter/iptables模块编译及应用
by KindGeorge # yahoo.com 2005.4.2 at ChinaUnix.net
netfilter-extensions-HOWTO-cn.pdf 如何给iptables 添加模块(v2.2) by platinum
netfilter-extensions-HOWTO-VIDEO.exe
其次在netfilter/iptables模块编译及应用该文章中,二,安装说明中的第四部,用的命令是make oldconfig。下面有一个关于机巧的提示,这个操作在本次安装过程中要执行吗,如果要执行的话,是在make oldconfig之前还是之后。
再次,我在后面的相关资料中看到有一个视频的教程http://ftp.jyt.com.cn/baijin/boo ... ons-HOWTO-VIDEO.rar ,我看到在该视频中,在这一步骤是使用命令make menuconfig,有何区别?
platinum 回复于:2005-12-20 21:49:57
其实 make oldconfig 和 make menuconfig 都可,目的是生成 .config 和 Makefile(但后来我发现不先做这步也可以?)
引用:
[root@localhost root]# /sbin/modprobe ipt_MASQUERADE
modprobe: Too deep recursion in module dependencies!
modprobe: Circular dependency? ip_nat_core ip_nat_proto_udp ip_conntrack ip_tables ipt_MASQUERADE
已放弃
为什么呀?
至于这个问题,我的那个 PDF 里面明确有写,在倒数第二个 FAQ 里说的,你再看看,如果还不行再来问,如果行了也说一下
inhell 回复于:2005-12-21 17:02:06
[root@localhost iptables-1.3.4]# make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install
/bin/sh: line 1: extensions/.expire-test: 权限不够
/bin/sh: line 1: extensions/.expire-test6: 权限不够
Rules.make:29: target `extensions/libipt_comment.d' given more than once in the same rule.
Rules.make:33: target `extensions/libipt_comment.so' given more than once in the same rule.
Making dependencies: please wait...
/bin/sh: line 1: extensions/.expire-test: 权限不够
/bin/sh: line 1: extensions/.expire-test6: 权限不够
Rules.make:29: target `extensions/libipt_comment.d' given more than once in the same rule.
Rules.make:33: target `extensions/libipt_comment.so' given more than once in the same rule.
cc -O2 -Wall -Wunused -I/usr/src/linux-2.4/include -Iinclude/ -DIPTABLES_VERSION=\"1.3.4\" -fPIC -o extensions/libipt_ah_sh.o -c extensions/libipt_ah.c
ld -shared -o extensions/libipt_ah.so extensions/libipt_ah_sh.o
cc -O2 -Wall -Wunused -I/usr/src/linux-2.4/include -Iinclude/ -DIPTABLES_VERSION=\"1.3.4\" -fPIC -o extensions/libipt_addrtype_sh.o -c extensions/libipt_addrtype.c
ld -shared -o extensions/libipt_addrtype.so extensions/libipt_addrtype_sh.o
cc -O2 -Wall -Wunused -I/usr/src/linux-2.4/include -Iinclude/ -DIPTABLES_VERSION=\"1.3.4\" -fPIC -o extensions/libipt_comment_sh.o -c extensions/libipt_comment.c
....
....
....
ld -shared -o extensions/libip6t_ROUTE.so extensions/libip6t_ROUTE_sh.o
cc -O2 -Wall -Wunused -I/usr/src/linux-2.4/include -Iinclude/ -DIPTABLES_VERSION=\"1.3.4\" -DIPT_LIB_DIR=\"/lib/iptables\" -c -o iptables.o iptables.c
iptables.c: In function `print_firewall':
iptables.c:1418: `IPT_F_GOTO' undeclared (first use in this function)
iptables.c:1418: (Each undeclared identifier is reported only once
iptables.c:1418: for each function it appears in.)
make: *** [iptables.o] Error 1
何解?
临风轩主 回复于:2005-12-24 09:30:21
多谢楼主共享
hongshancha 回复于:2005-12-24 20:21:56
谢谢,正下着呢
bleach 回复于:2005-12-25 15:04:01
引用:原帖由 inhell 于 2005-12-21 17:02 发表
[root@localhost iptables-1.3.4]# make BINDIR=/sbin LIBDIR=/lib MANDIR=/usr/share/man install
/bin/sh: line 1: extensions/.expire-test: 权限不够
/bin/sh: line 1: extensions/.expire-test6: 权限不 ...
到 iptables1.3.4/ex*/ 把这几个文件加 755 权限
我后来换成了 iptables1.3.1 去做的。。1。3。4没做成功就放弃啦,,有点遗憾
补充一下:uname -r 如果是 2.4.*.ELsmp 结果的话,很难做成
可以这样
rpm -qa | grep kernerl
会列出 *-smp-EL 这样的包(全名忘了)
rpm -e *-smp-EL
之后重新启下机器再做就OK了
[ 本帖最后由 bleach 于 2005-12-25 15:09 编辑 ]
brucechou 回复于:2005-12-29 15:05:07
楼主?象你那样iptables可以做时间/网站过滤的功能要具备什么条件?iptables要什么版本?内核要什么版本?能做到这么严密的控制,就完全不需要squid来支持了
platinum 回复于:2005-12-29 15:10:40
kernel 无所谓(2.6 略有不同)
iptables 无所谓
需要有一些 troubleshooting 的能力,否则出现问题就搁浅了
squid 的主要用途不是为了“控制”,而是在于“凯赤”(cache)
一个 Linux 做网关的网络中可以不要 squid,但不能没有 iptables
ybbnew 回复于:2005-12-29 15:41:59
[root@localhost root]# /sbin/modprobe ipt_MASQUERADE
modprobe: Too deep recursion in module dependencies!
modprobe: Circular dependency? ip_nat_core ip_nat_proto_udp ip_conntrack ip_tables ipt_MASQUERADE
我也一直碰到这个错误,按照宝典上倒数第二个也做过了,还是这样!不解!
有问题的是三个
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
/sbin/modprobe ipt_MASQUERADE
我的解决办法是用insmod
insmod ipt_MASQUERADE
insmod ip_nat_irc
insmod ip_nat_ftp
就行!
platinum 回复于:2005-12-29 16:21:25
引用:原帖由 ybbnew 于 2005-12-29 15:41 发表
[root@localhost root]# /sbin/modprobe ipt_MASQUERADE
modprobe: Too deep recursion in module dependencies!
modprobe: Circular dependency? ip_nat_core ip_nat_proto_udp ip_conntrack ip_tables ipt_MA ...
你没有仔细看文档中 FAQ 里面的倒数第二项
很多人都是照着一步一步来,但是不仔细看 FAQ,有文档也不看,唉。。。。
ybbnew 回复于:2005-12-29 16:22:28
根据老大提示,又试了一下
把ip_nat_core.o ,ip_nat_proto_udp.o从
/lib/moodules/`uname -r`/kernel/net/ipv4/netfilter/中删除
depmod -a
再删
depmod: *** Unresolved symbols in /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_fw_compat_masq.o
depmod: *** Unresolved symbols in /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_helper.o
depmod: *** Unresolved symbols in /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_standalone.o
然后
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
/sbin/modprobe ipt_MASQUERADE
竟然好了!倒
怎么回事啊?
[ 本帖最后由 ybbnew 于 2005-12-29 16:30 编辑 ]
ybbnew 回复于:2005-12-29 16:43:27
知道原因了。老大宝典中说的没错,是要这么做,可能是表述时让人弄错了
“顺便删除lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_nat_core.o”这句,我还以为就在那个 modules.dep文件中删的,其实还应该退出vi ,执行一下 rm /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_nat_core.o再depmod -a再删
呵呵,只能怪自己笨了!
ycfei 回复于:2006-01-02 11:16:49
老大.又有新发现了.
[root@linux9 linux-2.4]# make menuconfig
rm -f include/asm
( cd include ; ln -sf asm-i386 asm)
make -C scripts/lxdialog all
make[1]: Entering directory `/usr/src/linux-2.4.20-8/scripts/lxdialog'
/usr/bin/ld: cannot find -lncurses
collect2: ld returned 1 exit status
>> Unable to find the Ncurses libraries.
>>
>> You must have Ncurses installed in order
>> to use 'make menuconfig'
make[1]: *** [ncurses] Error 1
make[1]: Leaving directory `/usr/src/linux-2.4.20-8/scripts/lxdialog'
make: *** [menuconfig] Error 2
系统为最小化安装.内核重新安装.GCC单独安装.RH9系统.
各位看看.
platinum 回复于:2006-01-02 18:27:05
引用:原帖由 ycfei 于 2006-1-2 11:16 发表
老大.又有新发现了.
[root@linux9 linux-2.4]# make menuconfig
rm -f include/asm
( cd include ; ln -sf asm-i386 asm)
make -C scripts/lxdialog all
make[1]: Entering directory `/usr/src/linux-2.4.20-8/scripts/lxdialog'
/usr/bin/ld: cannot find -lncurses
collect2: ld returned 1 exit status
[color=Red]>> Unable to find the Ncurses libraries.
>>
>> You must have Ncurses installed in order
>> to use 'make menuconfig'[/color]
make[1]: *** [ncurses] Error 1
make[1]: Leaving directory `/usr/src/linux-2.4.20-8/scripts/lxdialog'
make: *** [menuconfig] Error 2
系统为最小化安装.内核重新安装.GCC单独安装.RH9系统.
各位看看.
我认为你应该先好好看提示
chenmeng10 回复于:2006-02-08 12:30:34
vi Makefile,将“EXTRAVERSION = -27.0.2.ELcustom”改为“EXTRAVERSION = -27.0.2.EL”
以下是我的系统uname -a的结果,请问要怎么改?
Linux ? 2.4.21-4.ELsmp #1 SMP Fri Oct 3 17:52:56 EDT 2003 i686 i686 i386 GNU/Linux
以下是我的vi Makefile
[root@? linux-2.4]# vi Makefile
VERSION = 2
PATCHLEVEL = 4
SUBLEVEL = 21
EXTRAVERSION = 4.ELsmp
请问我具体如何改?谢谢,我很菜,请不要笑我!
liuzhuan23 回复于:2006-02-08 17:16:19
呵呵,太红火了,谢谢谢谢谢谢谢谢谢谢!!!
platinum 回复于:2006-02-08 17:18:34
引用:原帖由 chenmeng10 于 2006-2-8 12:30 发表
vi Makefile,将“EXTRAVERSION = -27.0.2.ELcustom”改为“EXTRAVERSION = -27.0.2.EL”
以下是我的系统uname -a的结果,请问要怎么改?
Linux ? 2.4.21-4.ELsmp #1 SMP Fri Oct 3 17:52:56 EDT 2003 i686 i ...
刚看到,不好意思
如果不改的话,uname -a 看到的是 2.4.21-27.0.2.ELcustom,而不是你当前系统的版本号
因为不是内核全编译,只编译部分模块,所以要版本统一,否则无法加载内核模块
chenmeng10 回复于:2006-02-08 18:43:11
版本显示已经是更新过的新版
我想限制555端口每个ip的tcp连接为1线程
结果提示:分割错误
请问问题出在那里?谢谢
[root@? root]# iptables -V
iptables v1.3.5
[root@? root]# iptables -I INPUT -p tcp --dport 555 -m iplimit --iplimit-above 1
-j REJECT
Segmentation fault
[root@? root]# iptables -I INPUT -p tcp --dport 554 -m iplimit --iplimit-above 1 -j REJECT
Segmentation fault
[root@? root]# iptables -p tcp --syn --dport 554 -m connlimit --connlimit-above 1 --connlimit-mask 24 -j REJECT
iptables v1.3.5: no command specified
Try `iptables -h' or 'iptables --help' for more information.
[root@? root]#
kmerabbit 回复于:2006-02-21 19:02:12
你介绍的那个双线路脚本,对同一ISP的可以用吗?
怎么我做了没有什么流量哦?????
能帮帮我吗?
platinum 回复于:2006-02-21 21:05:07
引用:原帖由 kmerabbit 于 2006-2-21 19:02 发表
你介绍的那个双线路脚本,对同一ISP的可以用吗?
怎么我做了没有什么流量哦?????
能帮帮我吗?
同 ISP 的话,不要用两块网卡,否则路由会有问题,不太好处理
dbsrv 回复于:2006-05-24 17:37:59
再顶
zhs983036 回复于:2006-07-01 20:33:26
我也下载不到了哈!希望能给我发一份哟!
[email]zhs983038@163.com[/email]
dbsrv 回复于:2006-07-06 11:32:40
升级模块有两个问题,
1、rh73和9,iptables1.3.1、1.3.2、1.3.5,我都试过了,为啥就死活没有string这个模块?差哪了呢?
2、iptables升级到1.3.5后,我没用-m ipp2p这个参数,Bitcom就不好使了,为啥?升级前的1.2.7还是可以用BT的。1.3.1和1.3.2没试,不知道。我刚升级完,规则都删了,就剩这么几条了,没限制啊,NND,现在我自己想用 BT都不行了。
more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Thu Jul 6 14:19:11 2006
*nat
:PREROUTING ACCEPT [2192:142683]
:POSTROUTING ACCEPT [40:2322]
:OUTPUT ACCEPT [33:1986]
-A PREROUTING -s 192.168.11.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.11.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Thu Jul 6 14:19:11 2006
# Generated by iptables-save v1.3.5 on Thu Jul 6 14:19:11 2006
*filter
:INPUT DROP [1157:88428]
:FORWARD ACCEPT [11634:3465489]
:OUTPUT ACCEPT [2128:601302]
-A INPUT -i eth1 -p tcp -m tcp ! --dport 135 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Jul 6 14:19:11 2006
楼上的朋友要的视频和手册在这里,要用就快点,我不保证长期有效。
http://219.232.41.200/download/linux/netfilter-extensions-HOWTO-CN.pdf
http://219.232.41.200/download/linux/netfilter-extensions-HOWTO-VIDEO.rar
我的BITCOMET
[ 本帖最后由 dbsrv 于 2006-7-6 14:25 编辑 ]
2020 回复于:2006-07-06 17:39:16
RHEL4AS2版本中,有这样的文件:
/lib/iptables/libipt_connlimit.so
在使用-m connlimit 的时候仍然提示“iptables: No chain/target/match by that name”
没有找到该怎么使用使用这个功能.在redhat的论坛上找到篇资料,回复者仍然是用添加模块的方法.(http://www.redhat.com/archives/taroon-list/2005-January/msg00125.html)
这个文件该怎么用呢? 谢谢了!
hcb 回复于:2006-07-12 11:17:07
RH9.完全安装,iptables1.3.1、1.3.5,patcpatch-o-matic-ng-20050801、h-o-matic-ng-20060704我都试过了,为啥就死活没有string这个模块?
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme base
以及
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme extra
里面都没有出现string这个模块让选择
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme string
和
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme extra
出现的选项是一样的,选过的就不显示,没选过的模块就等待选择
请教成功安装过string模块的高手们,要如何才能选到string模块呢?
duanjigang 回复于:2006-08-21 10:54:10
感谢白金兄,周末整了两天,string 和ipp2p还是不能用,在make menuconfig的时候没有发现这两个模块,今天再看看你的视频,参考一下........
yutian57 回复于:2006-09-11 11:52:06
我们参照 LZ的PDF和视频,但是在depmod -a时出现了符号无法识别的问题,
手册上的解释是
Q:为什么depmod -a,提示类似下列的话?
depmod: *** Unresolved symbols in /lib/modules/2.4.21-27.0.2.EL/kernel/net/ipv4/ah4.o
A:这里失败的原因是因为模块版本与当前内核版本不匹配,往往是没有修改Makefile造成的,另一个原因就是,修改
Makefile的工作必须在make dep之前
我们用的内核版本是 2.4.32,patchs是20050801,iptables是1.3.1,
用uname -r 是2.4.32
head -n4 Makefile是
VERSION = 2
PATCHLEVEL = 4
SUBLEVEL = 32
EXTRAVERSION =
这样应该来说没有版本号 的错误啊?
请LZ指教!
:em02::em02::em02::em02:
platinum 回复于:2006-09-11 19:43:22
既然用了新的内核 2.4.32,不如自己重新编译内核而不是只编译 modules 了,你说呢?
h12345 回复于:2006-09-12 11:30:42
顶顶先 谢谢楼主
tomorrow0530 回复于:2006-09-12 11:35:44
在编译netfilter模块时,改为重新编译整个内核.结果还是一样的
是否是因为之前的操作,遗留下的问题
疑惑中
~~~~~~~~~
tomorrow0530 回复于:2006-09-13 10:23:50
已经打上了,这次是在2.4.20下做的
time和string的效果都不错
别的还来不及试
nettx 回复于:2006-09-16 16:44:05
不知道一百多兆的文件是如何用winrar压缩成五兆多点啊.
lovegqin 回复于:2006-10-06 11:51:45
白金大哥
我想问一下
一切都装完了,可是后来发现iprange在 ./runme 时没有选择,现在我想重新做一下
只用了 KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme iprange
然后再make menuconfig 选择了iprange
这样就可以了吗?
还用make modules 这一步和剩下的那些步骤吗?
lovegqin 回复于:2006-10-06 11:58:22
哦,我做出来了
必须make modules 和后面的步骤
只是按装iptables 的步骤可以不用!!!
lihn 回复于:2006-10-09 13:42:14
安装楼主的办法都搞定了,如果现在升级内核会有甚么反映?以前的设置还能用吗?
maxwell_81 回复于:2006-10-30 16:56:55
系统RH9,完全按照您的手册配置后,执行到测试的步骤,一切正常。
但是在执行:
在加载模块时将会出现如下错误:
[root@localhost root]# /sbin/modprobe ip_nat_ftp
modprobe: Too deep recursion in module dependencies!
modprobe: Circular dependency? ip_nat_proto_udp ip_conntrack ip_nat_core ip_nat_helper ip_nat_ftp
已放弃
[root@localhost root]# /sbin/modprobe ipt_MASQUERADE
modprobe: Too deep recursion in module dependencies!
modprobe: Circular dependency? ip_nat_core ip_nat_proto_udp ip_conntrack ip_tables ipt_MASQUERADE
已放弃
按照您的方法处理:
处理方法:修改/lib/modules/2.4.20-8/modules.dep,找到ip_nat_ftp行(大概在1899行),删除下面含有ip_nat_core 的行,顺便删除
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_core.o,然后再depmod –a
我不太明白:修改/lib/modules/2.4.20-8/modules.dep,找到ip_nat_ftp行 删除下面含有ip_nat_core 的行,顺便删除
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_core.o 这个的意思,到底删去什么东西呀,我只发现如下这样的行
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_ftp.o: /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_helper.o \
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_conntrack.o \
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_core.o
具体怎么操作呀,我删除了/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_core.o这个后执行depmod -a 后又出现了这行,故障依旧
maxwell_81 回复于:2006-10-30 17:03:50
顺便删除
/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_core.o
这个是只删去该文件中所有的这个字段吗,还是其他的意思呀
maxwell_81 回复于:2006-10-30 17:34:58
我知道问题出现在什么地方了,对呀倒数第二个FAQ的理解出现偏差:顺便删除/lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_core.o
我理解成在/lib/modules/2.4.20-8/modules.dep这个文件中删除,其实不是。应该是提出vi后,在运行
rm /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_core.o
然后在执行depmod -a 继续删除下面提示错误:
rm -rf /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_fw_compat_masq.o
rm -rf /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_helper.o
rm -rf /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter/ip_nat_standalone.o
即可。
maxwell_81 回复于:2006-10-30 17:39:49
目前的iptables的版本已经到1.3.6了,我想请问一下是否已经包含了这些扩展模块如(string、comment、connlimit、time等)怎么查看,我今天尝试了用iptables1.3.6这个版本,另外加上patch-o-matic-ng-20061026.tar.tar这个软件,按照楼主介绍的方法在RH9下尝试安装,在进行到:
KERNEL_DIR=/usr/src/linux-2.4 IPTABLES_DIR=/usr/src/iptables-1.3.1 ./runme string
这里的时候提示没有成功,好像是没有这些模块似的,是不是这个版本不需要了,还是其他的问题呀
另外patch-o-matic-ng-20061026.tar.tar这个软件到底是起到什么左右呀,怎么每天都更新呀,有的时候文件很大,有的时候又比较小
[ 本帖最后由 maxwell_81 于 2006-10-30 17:41 编辑 ]
platinum 回复于:2006-10-31 07:32:22
string 已经不再提供对 2.4 内核的支持,建议使用 2.6 内核
引用:
另外patch-o-matic-ng-20061026.tar.tar这个软件到底是起到什么左右呀,怎么每天都更新呀,有的时候文件很大,有的时候又比较小
那是快照
maxwell_81 回复于:2006-10-31 21:41:38
引用:原帖由 platinum 于 2006-10-31 07:32 发表
string 已经不再提供对 2.4 内核的支持,建议使用 2.6 内核
那是快照
你的意思是,在RH9中,安装iptables1.3.6和patch-o-matic-ng-20061026.tar.tar是不能扩展string这个模块的。
如果要使用这个模块的话,有两个方法:
1、在RH9中安装iptables1.3.1和patch-o-matic-ng-20050918.tar.bz2,扩展这个string模块
2、升级操作系统,换成内核版本为2.6的操作系统,如FC6,然后直接单独升级iptables到1.3.6,还是要通过安装安装iptables1.3.6和patch-o-matic-ng-20061026.tar.tar,来扩展string模块?
非常感谢
lovegqin 回复于:2006-11-03 11:19:32
同样想知道楼上的答案
等........
xokcn 回复于:2006-11-07 23:54:36
16个页面我看完了...我想问下楼主啊,我现在2.6的,重新编译内核到2.4能实现string吗?这个对我很重要...................................
谢谢!
platinum 回复于:2006-11-08 07:59:40
kernel 2.6 已经不用 patch,netfilter 里已经自带
lovegqin 回复于:2006-11-08 11:02:44
不用patch???
直接 make modules???
我试试
xokcn 回复于:2006-11-09 11:09:37
引用:原帖由 platinum 于 2006-11-8 07:59 发表
kernel 2.6 已经不用 patch,netfilter 里已经自带
是的.已经带上了,可是用不上string,很烦难..
大家有没办法能实现2.6支持string模块吗?
惠繪洋 回复于:2006-11-09 11:29:01
太好了. 要收藏學習.
謝謝樓主.thx
ancharn 回复于:2007-03-15 18:17:03
可是LZ提供的下载地址怎么始终无法访问呢?
麻烦LZ能否确认一下呢?多谢!
或者给我mail一份: [email]ancharn@yahoo.com.cn[/email]
ylcqen 回复于:2007-03-16 11:24:07
楼主,下不了.请发到[email]ylcqen@163.com[/email]
谢谢!
broceliu 回复于:2007-03-18 13:23:21
:D God is a man
Suniverse 回复于:2007-04-05 19:18:29
经典,谢谢!谢谢!
^日出东方^ 回复于:2007-04-07 20:02:16
谢谢分享学习了!!
jackylikeli 回复于:2007-04-09 09:58:17
:em14: :oops: 1223213
3633212123
]
623.
120
khx01 回复于:2007-08-01 12:08:33
好资料,:em02:
gushijie 回复于:2008-04-15 05:51:59
:lol: 感谢领导提供的学习资料。
luren04 回复于:2008-04-16 09:39:05
不错的一个教程,比较直观。
fish2010 回复于:2008-08-22 08:55:16
哈,收了,顶一下,支持一下
shawnlau 回复于:2008-08-22 15:51:45
LZ的却让我敬佩!! 先学习学习 我现在升级LINUX RD9 的内核 已经尝试过N 次了,但始终都没有成功过! 不知道楼主什么时候能教教我 如何升级系统内核!
xjjjk 回复于:2008-08-22 23:43:06
呵呵下载下来学习学习;
红帽--楠楠 回复于:2008-08-23 21:08:57
pdf,弄个word背,打印舒服啊!!!
zenglingping 回复于:2008-11-14 20:13:20
谢谢。
srgepl 回复于:2009-02-03 16:27:47
郁闷,我的内核是2.6的,
|
