[linux-l] iptables Problem: Einfuegen nicht moeglich wenn Referenz > 0

Benjamin Schieder blindcoder at scavenger.homeip.net
Fr Sep 1 17:55:28 CEST 2006


On 01.09.2006 17:09:09, Benjamin Schieder wrote:
> On 01.09.2006 16:25:06, Christoph Biedl wrote:
> > Benjamin Schieder wrote...
> > 
> > > Ich habe gerade ein seeehr merkwuerdiges Problem mit iptables.
> > > Folgende Situation:
> > > Ich moechte mein Traffic Accounting Tool (UTA Dragon) mit aktuellem Kernel
> > > 2.6.17.7 zum Laufen bringen. Dazu ist ein Kernel Patch vonnoeten, damit
> > > ich Traffic einem User zuordnen kann. Dies ist eine neue Version des
> > > ipt_ownersocketlookup.patch aus iptables patch-o-matic:
> > 
> > Was kann der, was CONFIG_IP_NF_MATCH_OWNER aus dem vanilla kernel nicht
> > kann? Zumal der Aufruf wie z.B. in
> > 
> > > iptables -A DRAGONUSER_INPUT -p tcp -d 192.168.1.6 -m owner --uid-owner 0 -j RETURN
> > 
> > ganz genauso aussieht?
> 
> Hab ich gerade mal ausprobiert (habe nen Vanilla 2.6.17.7 rumliegen).
> Zumindest das Problem ist das Gleiche. Ich kriege keine Regel in
> DRAGONUSER_INPUT solange DRAGON_INPUT darauf verweist.

Also, ich habe einen Ansatz gefunden:
in ipt_owner.c muss ich bei den .hooks noch:
	| (1 << NF_IP_LOCAL_IN)
hinzufuegen, dann krieg ich die Regel jederzeit rein.
@Christoph: Der vanilla Kernel kann eingehenden Traffic keinem User zuordnen.
Das geht nur mit dem genannten Patch.

Originalquelle des Patches:
	http://patchwork.netfilter.org/netfilter-devel/patch.pl?id=3265
Laesst sich aber nicht einwandfrei in den 2.6.17.7er patchen, udp.c und udp.h
brauchen Anpassungen.

Gruesse,
	Benjamin
-- 
Go away, or I will replace you with a very small shellscript!
	http://shellscripts.org/
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20060901/fc5e0bed/attachment.sig>


Mehr Informationen über die Mailingliste linux-l