[RÉSOLU] Pourquoi Iptables y veut pas ?

Support Debian
#1

Je ne me branche pas souvent sur la Lenny mais aujourd’hui j’avais décidé d’y faire un tour.
Webb : walou
courrier : que dalle
Tient, me dis-je :smiling_imp:
un petit tour partout et rien d’anormal.
Un petit iptables-save et là, je m’aperçois que je n’ai plus de ligne -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
pas étonnant donc que le webb ne passe pas.
Je “refait” mon iptables et arrivé à la fameuse ligne, voilà ce que cet effronté ose me répondre :

ricardo@lenny-hda9:~$ sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables: No chain/target/match by that name
Je l’ai insulté, bien sûr mais ça n’a rien donné, alors je m’en remets à votre sagacité. :smt006

#2

Le noyau est compilé avec les bonnes options ?
Quelle version, d’où vient-il ?

#3

Que donne lsmod | grep “^ip” ?

#4

Méfiance, avec les noyaux dernier cri les modules ip_* liés au suivi de connexion et ipt_* ont été renommés respectivement en nf_* et xt_*.

ip_conntrack -> nf_conntrack et nf_conntrack_ipv4
ipt_state -> xt_state

#5

noyau maison mais qui est assez ancien et qui fonctionnait bien avant.

ricardo@lenny-hda9:~$ uname -r 2.6.22-ricardo

@ Matt

ricardo@lenny-hda9:~$ lsmod | grep "^ip" iptable_filter 2944 1 iptable_mangle 2784 0 iptable_raw 2368 0 ip_tables 12260 3 iptable_filter,iptable_mangle,iptable_raw ipv6 235268 12 ricardo@lenny-hda9:~$

#6

Et en nf_* et xt_*, tu as quoi ?

Dans les options de configuration, tu as bien :

CONFIG_NF_CONNTRACK=m (ou y) CONFIG_NF_CONNTRACK_IPV4=m (ou y) CONFIG_NETFILTER_XT_MATCH_STATE=m (ou y) ?

#7

[quote=“PascalHambourg”]Et en nf_* et xt_*, tu as quoi ?

Dans les options de configuration, tu as bien :

CONFIG_NF_CONNTRACK=m (ou y) CONFIG_NF_CONNTRACK_IPV4=m (ou y) CONFIG_NETFILTER_XT_MATCH_STATE=m (ou y) ?[/quote]

Là, je suis sur ma Sid opérationnelle mais je vais aller vérifier si c’est idem sur la lenny qui pose problème.
CONFIG_NF_CONNTRACK=m
CONFIG_NF_CONNTRACK_IPV4=m
CONFIG_NETFILTER_XT_MATCH_STATE=m

RETOUR ICI en EDIT

Bon, je n’ai rien trouvé d’identique ds ma Lenny alors je vais repartir sur un noyau plus moderne.
résolu pour l’instant, je reviendrai si j’ai de nveau un problème.

#8

Ce n’est pas une question de modernité du noyau [1] mais d’options de compilation. Il n’aurait pas été configuré à la va-vite avec un ‘make oldconfig’ à partir du .config d’un noyau plus ancien ? Les options liées au suivi de connexion (conntrack) ont pas mal changé entre les versions 2.6.20 et 2.6.22.

[1] Ceci dit, si le noyau 2.6.22 provient de kernel.org, il contient la grosse faille découverte récemment et il vaut mieux le remplacer par un plus récent. S’il provient de Debian lenny, j’ose espérer qu’il a été patché.

#9

Je ne me souviens plus bien la façon dont je l’avais personnalisé mais je me souviens que je l’avais surtout fait pour une histoire de Nvidia qui n’était pas acceptée.
Je n’avais pas changé d’autres choses, il me semble et ce dont je suis sûr, c’est que mon parefeu avait été installé et fonctionnait parfaitement.
Quelle mouche l’a piqué pour qu’il perde une ligne ???