Jump to content

[Debian] module ip_tables sur kernel 2.6.12


Recommended Posts

bonjour à tous,

j'ai un serveur sous debian 2.6.12-2-686 :transpi:

j'essaie d'installer chillispot

j'ai donc suivi ce tutorial

http://www.pervasive-network.org/SPIP/Inst...llispot-sur-une

tout se passe bien jusqu'à ce que je lance la commande suivante

 /etc/chilli.iptables 

il me renvoie l'erreur suivante :

FATAL: Module ip_tables not found.
iptables v1.2.11: can't initialize iptables table `nat': iptables who? (do you n
eed to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

voici le contenu du fichier /etc/chilli.iptables


#!/bin/sh
#
# Firewall script for ChilliSpot
# A Wireless LAN Access Point Controller
#
# Uses $EXTIF (eth0) as the external interface (Internet or intranet) and
# $INTIF (eth1) as the internal interface (access points).
#
#
# SUMMARY
# * All connections originating from chilli are allowed.
# * Only ssh is allowed in on external interface.
# * Nothing is allowed in on internal interface.
# * Forwarding is allowed to and from the external interface, but disallowed
#   to and from the internal interface.
# * NAT is enabled on the external interface.

IPTABLES="/sbin/iptables"
EXTIF="eth0"
INTIF="eth1"

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

#Allow related and established on all interfaces (input)
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#Allow releated, established and ssh on $EXTIF. Reject everything else.
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 --syn -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -j REJECT

#Allow related and established from $INTIF. Drop everything else.
$IPTABLES -A INPUT -i $INTIF -j DROP

#Allow http and https on other interfaces (input).
#This is only needed if authentication server is on same server as chilli
$IPTABLES -A INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT

#Allow 3990 on other interfaces (input).
$IPTABLES -A INPUT -p tcp -m tcp --dport 3990 --syn -j ACCEPT

#Allow everything on loopback interface.
$IPTABLES -A INPUT -i lo -j ACCEPT

# Drop everything to and from $INTIF (forward)
# This means that access points can only be managed from ChilliSpot
$IPTABLES -A FORWARD -i $INTIF -j DROP
$IPTABLES -A FORWARD -o $INTIF -j DROP

#Enable NAT on output device
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

# serveur SSH
$IPTABLES -A INPUT -i tun0 -p tcp -m tcp --dport 22  --syn -j ACCEPT
# imap over SSL
$IPTABLES -A INPUT -i tun0 -p tcp -m tcp --dport 993  --syn -j ACCEPT

pouvez-vous me dire comment est-ce que je peux recompiler le kernel pour avoir le module ip_tables ?

merci de votre aide :ouioui:

sunfun :nvidia:

Link to comment
Share on other sites

Il me semblait que iptables était juste la partie UserLand et que la partie dans le noyau était netfilter?

Le noyau c'est ta compilation perso?

bonjour,

à vrai dire, je ne connais pas du tout les subtilités entre netfilter et iptables

le noyau est une compilation qui n'a pas été faite par moi meme

j'ai juste repris le cd avec ce noyau précompilé et je l'ai installé

est-ce que ça veut dire que je dois installer netfilter sur ce serveur pour avoir le module iptables ou pas ?

merci de ta réponse :zarb:

sunfun :chinois:

Link to comment
Share on other sites

Netfilter est le "vrai" firewall, c'est lui qui reçoit les règles et fait le travail de filtre. Iptables permet "simplement" de le commander si j'ai tout compris.

Je pense qu'il faut que tu cherche à activer les modules en "ip*" et surtout:

ip_tables

ip_conntrack

iptable_nat

iptable_filter

iptable_mangle

il me semble. Si tu es sous bash, active bash_completion si ce n'est pas déjà fait (/etc/bash_completion a priori) puis fait un:

#modprobe ip<TABULATION> pour voir ce qu'il te propose. Il semblerai donc que le ip_tables n'y soit pas, si c'est le cas il faudrait mieux en fait mettre un noyau fourni avec la distrib pour ne pas t'ennuyer avec ça si tu n'es pas trop chaud pour une recompilation de noyau.

Sous zsh même pas besoin de la completion, c'est de base :zarb:

Il y a ausi la solution d'y aller à la mano pour chercher les .ko mais bon commençons simplement :chinois:

J'espère t'avoir aidé.

Link to comment
Share on other sites

bonjour naparuba,

quand je fais un modprobe ip<TABULATION>, voici ce que j'ai :


aquarius:/usr/src/iptables-1.3.6# modprobe ip
ip6tables			   ip6tables-standalone.c  iptables-restore.8
ip6tables.8			 iptables				iptables-restore.c
ip6tables.8.in		  iptables.8			  iptables-save
ip6tables.c			 iptables.8.in		   iptables-save.8
ip6tables.o			 iptables.c			  iptables-save.c
ip6tables-restore.8	 iptables.d			  iptables-standalone.c
ip6tables-restore.c	 iptables-multi.c		iptables-standalone.d
ip6tables-save.8		iptables.o
ip6tables-save.c		iptables-restore

visiblement, le fichier ko associé au module iptables n'existe pas

comment pourrais-je faire sans recompiler le noyau et avoir le module iptables ?

si possible sans installer à nouveau debian ?

merci de tes conseils :zarb:

sunfun :chinois:

PS : s'il faut recompiler, alors recompilons :zarb:

Link to comment
Share on other sites

visiblement tu n'as pas activé la completion car il te propose des fichier .c par exemple, fait un :

(en root)

. /etc/bash_completion

cd /tmp

modprobe ip<TABULATION>

S'il n'y a rien on va recompiler, tuXXX a fait un bon tuto dessus :transpi:

bonjour,

tu peux me donner le lien vers le tuto de tuXXX s'il te plait ???

merci naparuba :ouioui:

sunfun :byebye:

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...