RE: [ml] tcp-flags e IPTABLES

> -----Original Message-----
> From: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx]On
> Behalf Of Francesco Ciocchetti
> Sent: Tuesday, March 08, 2005 7:41 PM
> To: ml@xxxxxxxxxxxxx
> Subject: Re: [ml] tcp-flags e IPTABLES
>
>
> Luigi Iotti wrote:
>
> >
> >iptables dipende in maniera abbastanza stretta dal kernel che
> usi. Se il tuo
> >problema dipende da questo, dovrebbe essere risolutivo
> ricompilarlo (anche
> >quello dell'rpm, è lo stesso) passando a make il parametro KERNEL_DIR con
> >path del sorgente del kernel che hai compilato tu.
> >Io ad esempio ho appena ricompilato un rpm di un kernel su FC3.
> Il sorgente
> >si trova in
> >/usr/src/redhat/BUILD/kernel-2.6.10/linux-2.6.10
> >
> >Visto che ho inserito alcune patch da patch-o-matic, ora devo ricompilare
> >iptables: nello spec file, la riga che era
> >make COPT_FLAGS="$OPT" KERNEL_DIR=/usr LIBDIR=/%{_lib}
> >la cambio in
> >make COPT_FLAGS="$OPT"
> >KERNEL_DIR=/usr/src/redhat/BUILD/kernel-2.6.10/linux-2.6.10
> LIBDIR=/%{_lib}
> >et voilà.
> >
> >Non va poi dimenticato che alcune patch modificano sia kernel
> che user space
> >(iptables stesso).
> >
> >HTH.
> >
> >
> Non credo che questo sia il caso, in quanto il match in questione
> dovrebbe far parte della libreria "libipt_tcp.so", come --dport ,
> fornita con la distribuzione ufficiale di iptables e compilata di default.
> Quello che dovresti provare e' inserire l'opzione " -m tcp " nella
> regola, ad esempio :
>
> iptables -A INPUT -p tcp -m tcp --tcp-flags ALL FIN,URG,PSH -j DROP

-m tcp? Non è necessario (è sufficiente -p tcp),  man iptables:
iptables  can  use  extended  packet matching modules.  These are loaded in
two ways: implicitly, when -p or --protocol is specified, or with the -m
or --match options, followed by the matching module name

Ho provato su un paio di sistemi ad usare "-p tcp" oppure "-p tcp -m tcp" e
difatti non fa alcuna differenza.

Tornando a quello che scrivevo io, è che spesso cambiando il kernel (ed è
quello che Alessandro ha fatto) cambia l'interfaccia iptables-kernel. Da qui
la necessità di ricompilare iptables con gli header di quel kernel (da qui
la riga KERNEL_DIR=).

Spesso il cambiamento introdotto nel kernel è 'subdolo': io ad esempio
quando ho ricompilato il kernel di cui parlavo ho _solo_ introdotto le patch
di patch-o-matic nth, pptp-conntrack-nat e h323-conntrack-nat. Nessun'altra
modifica.
Dopo avere bootstrappato il kernel nuovo, non funzionava più una banale
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Nessun riferimento (almeno esplicito) alle patch introdotte.
Ma è bastato ricompilare iptables con il kernel appena fatto e tutto è
tornato a posto.

Quello che era cambiato è l'interfaccia netfilter (nel kernel) <-> iptables
(in userspace).

Come dicevo, HTH.