# iptables: No chain/target/match by that name

## LeHardi

Witam!

Ledwo uporalem sie z kompilacja frontendow na iptables, okazalo sie ze nie tak latwo jest wprowadzic reguly filtrowania. Otoz zarowno guarddog i guidedog, jak i proba zaaplikowania regul za pomoca skryptu stworzonego przy pomocy Easy Firewall Generator for IPTables ze strony http://easyfwgen.morizot.net/gen/ powoduje blad wspomniany w temacie, czyli iptables: No chain/target/match by that name.. Pierwsza rzecz, ktora sprawdzilem to czy w kernelu wkompilowane sa odpowiednie opcje. Odpowiednie sekcje:

```

#

# Networking options

#

CONFIG_PACKET=y

CONFIG_PACKET_MMAP=y

CONFIG_UNIX=y

CONFIG_XFRM=y

CONFIG_XFRM_USER=m

CONFIG_NET_KEY=m

CONFIG_INET=y

CONFIG_IP_MULTICAST=y

CONFIG_IP_ADVANCED_ROUTER=y

CONFIG_ASK_IP_FIB_HASH=y

# CONFIG_IP_FIB_TRIE is not set

CONFIG_IP_FIB_HASH=y

CONFIG_IP_MULTIPLE_TABLES=y

CONFIG_IP_ROUTE_FWMARK=y

CONFIG_IP_ROUTE_MULTIPATH=y

CONFIG_IP_ROUTE_MULTIPATH_CACHED=y

CONFIG_IP_ROUTE_MULTIPATH_RR=m

CONFIG_IP_ROUTE_MULTIPATH_RANDOM=m

CONFIG_IP_ROUTE_MULTIPATH_WRANDOM=m

CONFIG_IP_ROUTE_MULTIPATH_DRR=m

CONFIG_IP_ROUTE_VERBOSE=y

CONFIG_IP_PNP=y

CONFIG_IP_PNP_DHCP=y

CONFIG_IP_PNP_BOOTP=y

CONFIG_IP_PNP_RARP=y

CONFIG_NET_IPIP=m

CONFIG_NET_IPGRE=m

CONFIG_NET_IPGRE_BROADCAST=y

CONFIG_IP_MROUTE=y

CONFIG_IP_PIMSM_V1=y

CONFIG_IP_PIMSM_V2=y

CONFIG_ARPD=y

CONFIG_SYN_COOKIES=y

CONFIG_INET_AH=m

CONFIG_INET_ESP=m

CONFIG_INET_IPCOMP=m

CONFIG_INET_TUNNEL=y

CONFIG_IP_TCPDIAG=y

CONFIG_IP_TCPDIAG_IPV6=y

CONFIG_TCP_CONG_ADVANCED=y

#

# TCP congestion control

#

CONFIG_TCP_CONG_BIC=y

CONFIG_TCP_CONG_WESTWOOD=m

CONFIG_TCP_CONG_HTCP=m

CONFIG_TCP_CONG_HSTCP=m

CONFIG_TCP_CONG_HYBLA=m

CONFIG_TCP_CONG_VEGAS=m

CONFIG_TCP_CONG_SCALABLE=m

#

# IP: Virtual Server Configuration

#

# CONFIG_IP_VS is not set

CONFIG_IPV6=y

# CONFIG_IPV6_PRIVACY is not set

# CONFIG_INET6_AH is not set

# CONFIG_INET6_ESP is not set

# CONFIG_INET6_IPCOMP is not set

# CONFIG_INET6_TUNNEL is not set

# CONFIG_IPV6_TUNNEL is not set

CONFIG_NETFILTER=y

CONFIG_NETFILTER_DEBUG=y

#

# IP: Netfilter Configuration

#

CONFIG_IP_NF_CONNTRACK=m

CONFIG_IP_NF_CT_ACCT=y

CONFIG_IP_NF_CONNTRACK_MARK=y

CONFIG_IP_NF_CT_PROTO_SCTP=m

CONFIG_IP_NF_FTP=m

CONFIG_IP_NF_IRC=m

CONFIG_IP_NF_TFTP=m

CONFIG_IP_NF_AMANDA=m

CONFIG_IP_NF_QUEUE=m

CONFIG_IP_NF_IPTABLES=m

CONFIG_IP_NF_MATCH_LIMIT=m

CONFIG_IP_NF_MATCH_IPRANGE=m

CONFIG_IP_NF_MATCH_MAC=m

CONFIG_IP_NF_MATCH_PKTTYPE=m

CONFIG_IP_NF_MATCH_MARK=m

CONFIG_IP_NF_MATCH_MULTIPORT=m

CONFIG_IP_NF_MATCH_TOS=m

CONFIG_IP_NF_MATCH_RECENT=m

CONFIG_IP_NF_MATCH_ECN=m

CONFIG_IP_NF_MATCH_DSCP=m

CONFIG_IP_NF_MATCH_AH_ESP=m

CONFIG_IP_NF_MATCH_LENGTH=m

CONFIG_IP_NF_MATCH_TTL=m

CONFIG_IP_NF_MATCH_TCPMSS=m

CONFIG_IP_NF_MATCH_HELPER=m

CONFIG_IP_NF_MATCH_STATE=m

CONFIG_IP_NF_MATCH_CONNTRACK=m

CONFIG_IP_NF_MATCH_OWNER=m

CONFIG_IP_NF_MATCH_ADDRTYPE=m

CONFIG_IP_NF_MATCH_REALM=m

CONFIG_IP_NF_MATCH_SCTP=m

CONFIG_IP_NF_MATCH_COMMENT=m

CONFIG_IP_NF_MATCH_CONNMARK=m

CONFIG_IP_NF_MATCH_HASHLIMIT=m

CONFIG_IP_NF_FILTER=m

CONFIG_IP_NF_TARGET_REJECT=m

CONFIG_IP_NF_TARGET_LOG=m

CONFIG_IP_NF_TARGET_ULOG=m

CONFIG_IP_NF_TARGET_TCPMSS=m

CONFIG_IP_NF_NAT=m

CONFIG_IP_NF_NAT_NEEDED=y

CONFIG_IP_NF_TARGET_MASQUERADE=m

CONFIG_IP_NF_TARGET_REDIRECT=m

CONFIG_IP_NF_TARGET_NETMAP=m

CONFIG_IP_NF_TARGET_SAME=m

CONFIG_IP_NF_NAT_SNMP_BASIC=m

CONFIG_IP_NF_NAT_IRC=m

CONFIG_IP_NF_NAT_FTP=m

CONFIG_IP_NF_NAT_TFTP=m

CONFIG_IP_NF_NAT_AMANDA=m

CONFIG_IP_NF_MANGLE=m

CONFIG_IP_NF_TARGET_TOS=m

CONFIG_IP_NF_TARGET_ECN=m

CONFIG_IP_NF_TARGET_DSCP=m

CONFIG_IP_NF_TARGET_MARK=m

CONFIG_IP_NF_TARGET_CLASSIFY=m

CONFIG_IP_NF_TARGET_CONNMARK=m

CONFIG_IP_NF_TARGET_CLUSTERIP=m

CONFIG_IP_NF_RAW=m

CONFIG_IP_NF_TARGET_NOTRACK=m

CONFIG_IP_NF_ARPTABLES=m

CONFIG_IP_NF_ARPFILTER=m

CONFIG_IP_NF_ARP_MANGLE=m

#

# IPv6: Netfilter Configuration (EXPERIMENTAL)

#

CONFIG_IP6_NF_QUEUE=m

CONFIG_IP6_NF_IPTABLES=m

CONFIG_IP6_NF_MATCH_LIMIT=m

CONFIG_IP6_NF_MATCH_MAC=m

CONFIG_IP6_NF_MATCH_RT=m

CONFIG_IP6_NF_MATCH_OPTS=m

CONFIG_IP6_NF_MATCH_FRAG=m

CONFIG_IP6_NF_MATCH_HL=m

CONFIG_IP6_NF_MATCH_MULTIPORT=m

CONFIG_IP6_NF_MATCH_OWNER=m

CONFIG_IP6_NF_MATCH_MARK=m

CONFIG_IP6_NF_MATCH_IPV6HEADER=m

CONFIG_IP6_NF_MATCH_AHESP=m

CONFIG_IP6_NF_MATCH_LENGTH=m

CONFIG_IP6_NF_MATCH_EUI64=m

CONFIG_IP6_NF_FILTER=m

CONFIG_IP6_NF_TARGET_LOG=m

CONFIG_IP6_NF_MANGLE=m

CONFIG_IP6_NF_TARGET_MARK=m

CONFIG_IP6_NF_RAW=m

#

# SCTP Configuration (EXPERIMENTAL)

#

# CONFIG_IP_SCTP is not set

# CONFIG_ATM is not set

# CONFIG_BRIDGE is not set

# CONFIG_VLAN_8021Q is not set

# CONFIG_DECNET is not set

CONFIG_LLC=m

# CONFIG_LLC2 is not set

CONFIG_IPX=m

CONFIG_IPX_INTERN=y

# CONFIG_ATALK is not set

# CONFIG_X25 is not set

# CONFIG_LAPB is not set

# CONFIG_NET_DIVERT is not set

# CONFIG_ECONET is not set

CONFIG_WAN_ROUTER=m

# CONFIG_NET_SCHED is not set

# CONFIG_NET_SCH_CLK_JIFFIES is not set

# CONFIG_NET_SCH_CLK_GETTIMEOFDAY is not set

# CONFIG_NET_SCH_CLK_CPU is not set

CONFIG_NET_CLS_ROUTE=y 

```

Wydaje mi sie, ze jest wszystko co byc powinno, ale moze sa jeszcze inne opcje do uaktywnienia. Np czy QoS jest potrzebny - BTW komputer z Gentoo ma zadanie udostepniac Net (ADSL czyli Neostrade) sieci LAN (jak na razie zlozonej z jednego komputera  :Smile: 

Wynik lsmod jest taki oto:

```

Module                  Size  Used by

ip_nat_irc              3008  0

ip_nat_ftp              4032  0

iptable_mangle          3200  0

ipt_LOG                 7424  0

ipt_MASQUERADE          4160  0

iptable_nat            23996  3 ip_nat_irc,ip_nat_ftp,ipt_MASQUERADE

ipt_TOS                 2880  0

ipt_REJECT              5248  0

ip_conntrack_irc       72112  1 ip_nat_irc

ip_conntrack_ftp       72816  1 ip_nat_ftp

ipt_state               2368  0

ip_conntrack           45276  7 ip_nat_irc,ip_nat_ftp,ipt_MASQUERADE,iptable_nat,ip_conntrack_irc,ip_conntrack_ftp,ipt_state

iptable_filter          3328  0

ip_tables              21696  8 iptable_mangle,ipt_LOG,ipt_MASQUERADE,iptable_nat,ipt_TOS,ipt_REJECT,ipt_state,iptable_filter

nvidia               4052860  0

eagle_usb             125312  0

```

Wiec jakies moduly sa zaladowane, czy wszystkie nie wiem, ale wydaje sie ze tak.

Na wszelki wypadek zrobilem ponowny emerge iptables - ale nic sie enie zmienilo.

A moze iptables z Gentoo jest niekompatybilny zarowno z Guide- i Guarddogiem, jak i generetorem regul na WWW. Moze ta wersja iptables wprowadzila jakies zmiany, przez co reguly tworzone przez te programy manifestuja se obecnie bledem?

I na koniec dluzsza lektura, ale dzieki niej moze cos da sie wyjasnic. Wklejam wiec skrypt z Easy Firewall Generator:

```

#!/bin/sh

SYSCTL="/sbin/sysctl -w"

IPT="/sbin/iptables"

IPTS="/sbin/iptables-save"

IPTR="/sbin/iptables-restore"

INET_IFACE="ppp0"

LOCAL_IFACE="eth0"

LOCAL_IP="192.168.0.1"

LOCAL_NET="192.168.0.0/24"

LOCAL_BCAST="192.168.0.255"

LO_IFACE="lo"

LO_IP="127.0.0.1"

if [ "$1" = "save" ]

then

echo -n "Saving firewall to /etc/sysconfig/iptables ... "

$IPTS > /etc/sysconfig/iptables

echo "done"

exit 0

elif [ "$1" = "restore" ]

then

echo -n "Restoring firewall from /etc/sysconfig/iptables ... "

$IPTR < /etc/sysconfig/iptables

echo "done"

exit 0

fi

echo "Loading kernel modules ..."

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_conntrack_irc

if [ "$SYSCTL" = "" ]

then

echo "1" > /proc/sys/net/ipv4/ip_forward

else

$SYSCTL net.ipv4.ip_forward="1"

fi

if [ "$SYSCTL" = "" ]

then

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

else

$SYSCTL net.ipv4.tcp_syncookies="1"

fi

if [ "$SYSCTL" = "" ]

then

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

else

$SYSCTL net.ipv4.conf.all.rp_filter="1"

fi

if [ "$SYSCTL" = "" ]

then

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

else

$SYSCTL net.ipv4.icmp_echo_ignore_broadcasts="1"

fi

if [ "$SYSCTL" = "" ]

then

echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

else

$SYSCTL net.ipv4.conf.all.accept_source_route="0"

fi

if [ "$SYSCTL" = "" ]

then

echo "1" > /proc/sys/net/ipv4/conf/all/secure_redirects

else

$SYSCTL net.ipv4.conf.all.secure_redirects="1"

fi

if [ "$SYSCTL" = "" ]

then

echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

else

$SYSCTL net.ipv4.conf.all.log_martians="1"

fi

echo "Flushing Tables ..."

$IPT -P INPUT ACCEPT

$IPT -P FORWARD ACCEPT

$IPT -P OUTPUT ACCEPT

$IPT -t nat -P PREROUTING ACCEPT

$IPT -t nat -P POSTROUTING ACCEPT

$IPT -t nat -P OUTPUT ACCEPT

$IPT -t mangle -P PREROUTING ACCEPT

$IPT -t mangle -P OUTPUT ACCEPT

$IPT -F

$IPT -t nat -F

$IPT -t mangle -F

$IPT -X

$IPT -t nat -X

$IPT -t mangle -X

if [ "$1" = "stop" ]

then

echo "Firewall completely flushed! Now running with no firewall."

exit 0

fi

$IPT -P INPUT DROP

$IPT -P OUTPUT DROP

$IPT -P FORWARD DROP

echo "Create and populate custom rule chains ..."

$IPT -N bad_packets

$IPT -N bad_tcp_packets

$IPT -N icmp_packets

$IPT -N udp_inbound

$IPT -N udp_outbound

$IPT -N tcp_inbound

$IPT -N tcp_outbound

$IPT -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j LOG \

--log-prefix "Illegal source: "

$IPT -A bad_packets -p ALL -i $INET_IFACE -s $LOCAL_NET -j DROP

$IPT -A bad_packets -p ALL -m state --state INVALID -j LOG \

--log-prefix "Invalid packet: "

$IPT -A bad_packets -p ALL -m state --state INVALID -j DROP

$IPT -A bad_packets -p tcp -j bad_tcp_packets

$IPT -A bad_packets -p ALL -j RETURN

$IPT -A bad_tcp_packets -p tcp -i $LOCAL_IFACE -j RETURN

$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \

--log-prefix "New not syn: "

$IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j LOG \

--log-prefix "Stealth scan: "

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL NONE -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j LOG \

--log-prefix "Stealth scan: "

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL ALL -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG \

--log-prefix "Stealth scan: "

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG \

--log-prefix "Stealth scan: "

$IPT -A bad_tcp_packets -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j LOG \

--log-prefix "Stealth scan: "

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG \

--log-prefix "Stealth scan: "

$IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPT -A bad_tcp_packets -p tcp -j RETURN

$IPT -A icmp_packets --fragment -p ICMP -j LOG \

--log-prefix "ICMP Fragment: "

$IPT -A icmp_packets --fragment -p ICMP -j DROP

$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP

$IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

$IPT -A icmp_packets -p ICMP -j RETURN

$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 137 -j DROP

$IPT -A udp_inbound -p UDP -s 0/0 --destination-port 138 -j DROP

$IPT -A udp_inbound -p UDP -s 0/0 --source-port 67 --destination-port 68 \

-j ACCEPT

$IPT -A udp_inbound -p UDP -j RETURN

$IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT

$IPT -A tcp_inbound -p TCP -j RETURN

$IPT -A tcp_outbound -p TCP -s 0/0 -j ACCEPT

# INPUT Chain

echo "Process INPUT chain ..."

$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

$IPT -A INPUT -p ALL -j bad_packets

$IPT -A INPUT -p ALL -d 224.0.0.1 -j DROP

$IPT -A INPUT -p ALL -i $LOCAL_IFACE -s $LOCAL_NET -j ACCEPT

$IPT -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCAL_BCAST -j ACCEPT

$IPT -A INPUT -p UDP -i $LOCAL_IFACE --source-port 68 --destination-port 67 \

-j ACCEPT

$IPT -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED \

-j ACCEPT

$IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_inbound

$IPT -A INPUT -p UDP -i $INET_IFACE -j udp_inbound

$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

$IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP

$IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \

--log-prefix "INPUT packet died: "

echo "Process FORWARD chain ..."

$IPT -A FORWARD -p ALL -j bad_packets

$IPT -A FORWARD -p tcp -i $LOCAL_IFACE -j tcp_outbound

$IPT -A FORWARD -p udp -i $LOCAL_IFACE -j udp_outbound

$IPT -A FORWARD -p ALL -i $LOCAL_IFACE -j ACCEPT

$IPT -A FORWARD -i $INET_IFACE -m state --state ESTABLISHED,RELATED \

-j ACCEPT

$IPT -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \

--log-prefix "FORWARD packet died: "

echo "Process OUTPUT chain ..."

$IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP

$IPT -A OUTPUT -p ALL -s $LO_IP -j ACCEPT

$IPT -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT

$IPT -A OUTPUT -p ALL -s $LOCAL_IP -j ACCEPT

$IPT -A OUTPUT -p ALL -o $LOCAL_IFACE -j ACCEPT

$IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT

$IPT -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \

--log-prefix "OUTPUT packet died: "

echo "Load rules for nat table ..."

$IPT -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

echo "Load rules for mangle table ...

```

EDIT: Przepraszam za wersje pierwotna tego listingu - z komentarzami  :Embarassed:   Mam nadzieje, ze teraz jest dobrze

-- 

LeHardiLast edited by LeHardi on Wed Oct 19, 2005 12:05 am; edited 2 times in total

----------

## psycepa

ale ci sie dostanie za te wykomentowane linie we wrzuconych na forum configach   :Twisted Evil: 

----------

## LeHardi

 *psycepa wrote:*   

> ale ci sie dostanie za te wykomentowane linie we wrzuconych na forum configach  

 

Juz edytuje...  :Embarassed: 

-- 

LeHardi

----------

## n3rd

Aż mi się palec zmęczył od przewijania scrola w myszce...   :Confused: 

pozdr

dc

----------

## LeHardi

 *n3rd wrote:*   

> Aż mi się palec zmęczył od przewijania scrola w myszce...  
> 
> pozdr
> 
> dc

 

Soooooorrrrry! Juz nie bede  :Embarassed: 

-- 

LeHardi

----------

## psycepa

hmm

moze google i np cos takiego:

 *Quote:*   

> 
> 
> > Hello,
> 
> > 
> ...

 

----------

## Callem

Czy po 

```
echo "Load rules for mangle table ...
```

nie masz przypadkiem regułki ustawiającej TTL na 128 ?

----------

## LeHardi

 *Callem wrote:*   

> Czy po 
> 
> ```
> echo "Load rules for mangle table ...
> ```
> ...

 

Nie - a powinna byc?

-- 

LeHardi

----------

## Callem

Zależy czy potrzebujesz tego triku czy nie.

Pytałem czy masz taką, gdyż najczęściej w niej tkwi problem bez odpowiedniego patcha na jądro.

----------

## LeHardi

 *Callem wrote:*   

> Zależy czy potrzebujesz tego triku czy nie.
> 
> Pytałem czy masz taką, gdyż najczęściej w niej tkwi problem bez odpowiedniego patcha na jądro.

 

Czyli to nie w tym problem, ale zdiagnozowalem powod bledow. Otoz jest to:

```

FATAL: Module multiport not found.

FATAL: Module ipt_unclean not found.

```

czyli tak jakby brakowalo modulu. Wydaje mi sie, ze wszystko wlaczylem w jadrze, ale moze sa opcje z innych sekcji, o ktorych nie wiem...

EDIT: jednak to nie to: ipt_unclean zostal prawdopodobnie usuniety z ostatnich 2.6.x - wiec go wykomentowalem. Multiport zmienilem na ipt_multiport - zadnych bledow  co do modulow nie ma, ale problem z tematu pozostaje   :Crying or Very sad: 

-- 

Lehardi

----------

## LeHardi

 *psycepa wrote:*   

> 
> 
> You need masquerading support :
> 
> # insmod iptable_nat
> ...

 [/quote]

Tak, ale lsmod daje to:

```

ipt_multiport           3072  0

ip_conntrack_irc       72112  0

ip_nat_ftp              4032  0

ip_conntrack_ftp       72816  1 ip_nat_ftp

ipt_state               2368  7

ipt_tcpmss              2816  0

ipt_mark                2176  0

ipt_REJECT              5248  0

ipt_owner               4032  0

ipt_MASQUERADE          4160  1

ipt_limit               2816  3

ipt_LOG                 7424  13

iptable_nat            23996  3 ip_nat_ftp,ipt_MASQUERADE

iptable_mangle          3200  0

iptable_filter          3328  1

ip_conntrack           45276  6 ip_conntrack_irc,ip_nat_ftp,ip_conntrack_ftp,ipt_state,ipt_MASQUERADE,iptable_nat

ip_tables              21696  12 ipt_multiport,ipt_state,ipt_tcpmss,ipt_mark,ipt_REJECT,ipt_owner,ipt_MASQUERADE,ipt_limit,ipt_LOG,iptable_nat,iptable_mangle,iptable_filter

nvidia               4052860  0

eagle_usb             125312  0

```

Co znaczy, ze moduly, o ktorych piszesz sa zaladowane.

-- 

LeHardi[/list]

----------

## LeHardi

Wiem juz ktora konkretnie regula powoduje ten blad

```

# Drop without logging broadcasts that get this far.

# Cuts down on log clutter.

# Comment this line if testing new rules that impact

# broadcast protocols.

$IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP

```

Wprawdzie rozumiem znaczenie tych slow po polsku, ale mozecie mi wyjasnic po ludzku za co odpowiada ta regula, czy jest istotna w filtrowaniu i co takiego z nia jest nie tak, ze powoduje blad. Mozna to jakos poprawic?

-- 

LeHardi

----------

## Raku

blokuje ruch rozgłoszeniowy trafiający z sieci w twój komputer.

a nie działa, bo zapewne nie masz modułu pkttype w kernelu

----------

## LeHardi

 *raku wrote:*   

> blokuje ruch rozgłoszeniowy trafiający z sieci w twój komputer.
> 
> a nie działa, bo zapewne nie masz modułu pkttype w kernelu

 

No jednak mam, tyle ze sie nie ladowal. Dodalem wiec linie ladujaca modul do skryptu i blad zniknal. Zeby jednak nie bylo za dobrze, teraz z kolei iptables blokuje calkowicie dostep do Netu - i to nie wazne czy uruchamiam skrypt przytoczony w tym watku wczesniej, czy otwierajac poszczegolne porty w guarddogu. Sam juz nie wiem co jest grane: moze jest jakis skrypt minimum (tylko podstawowe reguly), ktory pozwoli sprawdzic czy iptables w ogole dziala?

Dzieki za trop i prosze o jeszcze  :Smile: 

-- 

LeHardi

----------

