[linux-l] iptables Problem: Einfuegen nicht moeglich wenn Referenz > 0
Benjamin Schieder
blindcoder at scavenger.homeip.net
Fr Sep 1 17:55:28 CEST 2006
On 01.09.2006 17:09:09, Benjamin Schieder wrote:
> On 01.09.2006 16:25:06, Christoph Biedl wrote:
> > Benjamin Schieder wrote...
> >
> > > Ich habe gerade ein seeehr merkwuerdiges Problem mit iptables.
> > > Folgende Situation:
> > > Ich moechte mein Traffic Accounting Tool (UTA Dragon) mit aktuellem Kernel
> > > 2.6.17.7 zum Laufen bringen. Dazu ist ein Kernel Patch vonnoeten, damit
> > > ich Traffic einem User zuordnen kann. Dies ist eine neue Version des
> > > ipt_ownersocketlookup.patch aus iptables patch-o-matic:
> >
> > Was kann der, was CONFIG_IP_NF_MATCH_OWNER aus dem vanilla kernel nicht
> > kann? Zumal der Aufruf wie z.B. in
> >
> > > iptables -A DRAGONUSER_INPUT -p tcp -d 192.168.1.6 -m owner --uid-owner 0 -j RETURN
> >
> > ganz genauso aussieht?
>
> Hab ich gerade mal ausprobiert (habe nen Vanilla 2.6.17.7 rumliegen).
> Zumindest das Problem ist das Gleiche. Ich kriege keine Regel in
> DRAGONUSER_INPUT solange DRAGON_INPUT darauf verweist.
Also, ich habe einen Ansatz gefunden:
in ipt_owner.c muss ich bei den .hooks noch:
| (1 << NF_IP_LOCAL_IN)
hinzufuegen, dann krieg ich die Regel jederzeit rein.
@Christoph: Der vanilla Kernel kann eingehenden Traffic keinem User zuordnen.
Das geht nur mit dem genannten Patch.
Originalquelle des Patches:
http://patchwork.netfilter.org/netfilter-devel/patch.pl?id=3265
Laesst sich aber nicht einwandfrei in den 2.6.17.7er patchen, udp.c und udp.h
brauchen Anpassungen.
Gruesse,
Benjamin
--
Go away, or I will replace you with a very small shellscript!
http://shellscripts.org/
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: nicht verfügbar
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20060901/fc5e0bed/attachment.sig>
Mehr Informationen über die Mailingliste linux-l