Нужны доп.модули ядра для netfilter (продвинутый iptables)

[OmegaTron]

Что-то на новых прошивках с iptables (который ещё дополнительно приходится загружать) совсем грустно - даже на прошивках v1 оный был в комплекте и был на порядок более продвинутым. Попытки применить подобные правила :

iptables -I FORWARD -p tcp --sport 80 -m string --algo bm --string "Location: http://bash.im" -j DROP
iptables -I FORWARD -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000&&0x1E&0xffff=0x5004" -j DROP

Заканчиваются фейлом. 

В OpenWRT работу данных правил обеспечивают пакеты

Цитата

iptables-mod-conntrack-extra
iptables-mod-u32
iptables-mod-ipopt

На zyxel'ях же их нет возможности поставить. Хотелось бы в новых прошивках иметь возможность добавить подобные правила.

Edited January 7, 2018 by OmegaTron

[Le ecureuil]

8 часов назад, OmegaTron сказал:

zyxmon, дошли руки до роутера - что-то я не наблюдаю там пункта "Модули ядра подсистемы NetFilter" и "Пакет расширения Xtables-addons для netfilter" (не удивительно, что я их не заметил),  там есть лишь "Модули ядра подсистемы Traffic Control" или это и есть то, о чём вы говорили ?

Все появилось только в 2.09+.

[zyxmon]

Так поставьте нужный компонент и все "зажжужит".

 

[vasek00]

iptables -I FORWARD -p tcp --sport 80 -m string --algo bm --string "Location: http://bash.im" -j DROP
iptables -I FORWARD -p tcp --sport 443 -m connbytes --connbytes 1:4 --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000&&0x1E&0xffff=0x5004" -j DROP

Все ОК да и ранее все нормально было с такими коомандами

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:443 connbytes 1:4 connbytes mode packets connbytes direction reply u32 "0x4=0x10000&&0x1e&0xffff=0x5004"
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:80 STRING match  "Location: http://bash.im" ALGO name bm TO 65535

/ # lsmod | grep table
iptable_raw              865  1
arptable_filter          593  0
ebtable_broute           737  0
ebtable_filter           913  0
ebtable_nat              913  0
compat_xtables          2128  14 xt_DHCPMAC,xt_DNETMAP,xt_LOGMARK,xt_length2,xt_CHAOS,xt_STEAL,xt_SYSRQ,xt_DELUDE,xt_ipp2p,xt_ACCOUNT,xt_IPMARK,xt_psd,xt_RAWNAT,xt_TARPIT
iptable_rawpost          577  0
arp_tables              9570  1 arptable_filter
ebtables               16566  3 ebtable_broute,ebtable_nat,ebtable_filter
/ # 
/lib/modules/3.4.113 # ls -l | grep xt_
-rw-r--r--    1 root     root         14912 Dec 28 22:02 xt_ACCOUNT.ko
-rw-r--r--    1 root     root          5124 Dec 28 22:02 xt_CHAOS.ko
-rw-r--r--    1 root     root          2008 Dec 28 21:56 xt_CLASSIFY.ko
-rw-r--r--    1 root     root          4588 Dec 28 21:57 xt_CT.ko
-rw-r--r--    1 root     root          3604 Dec 28 22:02 xt_DELUDE.ko
-rw-r--r--    1 root     root          3396 Dec 28 22:03 xt_DHCPMAC.ko
-rw-r--r--    1 root     root         16876 Dec 28 22:03 xt_DNETMAP.ko
-rw-r--r--    1 root     root          3368 Dec 28 21:56 xt_DSCP.ko
-rw-r--r--    1 root     root          2484 Dec 28 22:03 xt_IPMARK.ko
-rw-r--r--    1 root     root          4480 Dec 28 22:03 xt_LOGMARK.ko
-rw-r--r--    1 root     root          2192 Dec 28 21:57 xt_NOTRACK.ko
-rw-r--r--    1 root     root          5692 Dec 28 22:03 xt_RAWNAT.ko
-rw-r--r--    1 root     root          2272 Dec 28 22:03 xt_STEAL.ko
-rw-r--r--    1 root     root          8020 Dec 28 22:03 xt_SYSRQ.ko
-rw-r--r--    1 root     root          6880 Dec 28 22:02 xt_TARPIT.ko
-rw-r--r--    1 root     root          4960 Dec 28 21:56 xt_TEE.ko
-rw-r--r--    1 root     root          7084 Dec 28 21:56 xt_TPROXY.ko
-rw-r--r--    1 root     root          4336 Dec 28 21:57 xt_addrtype.ko
-rw-r--r--    1 root     root          1908 Dec 28 21:56 xt_comment.ko
-rw-r--r--    1 root     root          5464 Dec 28 22:03 xt_condition.ko
-rw-r--r--    1 root     root          3628 Dec 28 21:56 xt_connbytes.ko
-rw-r--r--    1 root     root          3128 Dec 28 21:56 xt_connmark.ko
-rw-r--r--    1 root     root          2676 Dec 28 21:56 xt_dscp.ko
-rw-r--r--    1 root     root          3076 Dec 28 21:56 xt_ecn.ko
-rw-r--r--    1 root     root          2288 Dec 28 21:56 xt_esp.ko
-rw-r--r--    1 root     root          2776 Dec 28 22:03 xt_fuzzy.ko
-rw-r--r--    1 root     root          5608 Dec 28 22:03 xt_geoip.ko
-rw-r--r--    1 root     root         11160 Dec 28 21:57 xt_hashlimit.ko
-rw-r--r--    1 root     root          2632 Dec 28 21:56 xt_helper.ko
-rw-r--r--    1 root     root          2200 Dec 28 21:56 xt_hl.ko
-rw-r--r--    1 root     root          2620 Dec 28 22:03 xt_iface.ko
-rw-r--r--    1 root     root         12168 Dec 28 22:03 xt_ipp2p.ko
-rw-r--r--    1 root     root          2536 Dec 28 21:57 xt_iprange.ko
-rw-r--r--    1 root     root          2036 Dec 28 22:03 xt_ipv4options.ko
-rw-r--r--    1 root     root          2152 Dec 28 21:56 xt_length.ko
-rw-r--r--    1 root     root          4556 Dec 28 22:03 xt_length2.ko
-rw-r--r--    1 root     root          5464 Dec 28 22:03 xt_lscan.ko
-rw-r--r--    1 root     root          2116 Dec 28 21:57 xt_owner.ko
-rw-r--r--    1 root     root          2984 Dec 28 21:57 xt_physdev.ko
-rw-r--r--    1 root     root          2084 Dec 28 21:57 xt_pkttype.ko
-rw-r--r--    1 root     root          3756 Dec 28 21:56 xt_policy.ko
-rw-r--r--    1 root     root          5568 Dec 28 22:03 xt_psd.ko
-rw-r--r--    1 root     root          2456 Dec 28 21:57 xt_quota.ko
-rw-r--r--    1 root     root          5616 Dec 28 22:03 xt_quota2.ko
-rw-r--r--    1 root     root         12352 Dec 28 21:56 xt_recent.ko
-rw-r--r--    1 root     root          6012 Dec 28 21:56 xt_set.ko
-rw-r--r--    1 root     root          5316 Dec 28 21:56 xt_socket.ko
-rw-r--r--    1 root     root          2460 Dec 28 21:56 xt_statistic.ko
-rw-r--r--    1 root     root          2400 Dec 28 21:56 xt_string.ko
/lib/modules/3.4.113 # 

так же с 2016года

 

Edited January 7, 2018 by vasek00

[OmegaTron]

6 часов назад, zyxmon сказал:

 

Так поставьте нужный компонент и все "зажжужит".

 

Мда, а слона то я и не заметил. Хотя в последнее время у меня глаз замылен из-за вороха проблем. Спасибо

p.s. А чего не ткнули носом в это дело на forums.zyxmon.org ?)))

5 часов назад, vasek00 сказал:

Все ОК да и ранее все нормально было с такими коомандами

Ну если речь про v1, с первой командой проблем не было, для второй требовался u32, которого там не было :/

[zyxmon]

1 минуту назад, OmegaTron сказал:

А чего не ткнули носом в это дело на forums.zyxmon.org ?

Я же Вам привел пример с extra! Откуда мне знать, что у Вас вообще кинетик. Entware устанавливается на разные железки. Кинтеики - это 1-2% от всех в лучшем случае.

[vasek00]

3 часа назад, OmegaTron сказал:

Мда, а слона то я и не заметил. Хотя в последнее время у меня глаз замылен из-за вороха проблем. Спасибо

p.s. А чего не ткнули носом в это дело на forums.zyxmon.org ?)))

Ну если речь про v1, с первой командой проблем не было, для второй требовался u32, которого там не было :/

На данном форуме речь только о V2, пример выше начиная не помню уже с какой версии но 2.10-2.11 точно.

А я пример с KII.

[OmegaTron]

14 часа назад, zyxmon сказал:

Я же Вам привел пример с extra! Откуда мне знать, что у Вас вообще кинетик. Entware устанавливается на разные железки. Кинтеики - это 1-2% от всех в лучшем случае.

У меня Omni II, чего я не скрывал, когда спрашивал про затык с установкой entware  А iptables на zyxel keenetic с прошивкой v1, я привёл в качестве примера, что там первое правило отработало без проблем :/ Ну да бог с ним. Во избежание подобного недопонимания позже добавлю в подпись что у меня за железки и какие на них прошивки

[zyxmon]

2 часа назад, OmegaTron сказал:

У меня Omni II,

А разве не Вы на Android Entware устанавливали? Значит перепутал....

[OmegaTron]

4 часа назад, zyxmon сказал:

А разве не Вы на Android Entware устанавливали? Значит перепутал....

И там устанавливал и там

[Le ecureuil]

Только учтите, что таблица raw монопольно захватывается компонентом netflow и не загружается автоматически.

Если она вам нужна - удалите компонент netflow, и загружайте руками iptable_raw.ko.

[KorDen]

1 час назад, Le ecureuil сказал:

Если она вам нужна - удалите компонент netflow,

На всякий случай уточню - захватывается в любом случае если netflow установлен, даже если не настроен?

[Le ecureuil]

7 минут назад, KorDen сказал:

На всякий случай уточню - захватывается в любом случае если netflow установлен, даже если не настроен?

Нет, только если настроен и включен, но, как говориться, во избежание...

[OmegaTron]

zyxmon, дошли руки до роутера - что-то я не наблюдаю там пункта "Модули ядра подсистемы NetFilter" и "Пакет расширения Xtables-addons для netfilter" (не удивительно, что я их не заметил),  там есть лишь "Модули ядра подсистемы Traffic Control" или это и есть то, о чём вы говорили ?

[TheBB]

2 часа назад, OmegaTron сказал:

... не удивительно, что я их не заметил...

действительно, не удивительно )))

Цитата

... добавлен пакет ndm-opkg-kmod-netfilter-addons...

 

[OmegaTron]

В 10.01.2018 в 07:08, Le ecureuil сказал:

Все появилось только в 2.09+.

Имхо, но с этого надо было начинать

Единственное, осталось пара вопросов - стоит ли перед апдейтом до 2.09+ производить какие-либо манипуляции с entware дабы ничего не слетело и какую бы прошивку из 2.09+ вы бы порекомендовали как самую стабильную ?

[Le ecureuil]

Давным давно реализовано.