masquerading mit Kernel 2.4.22 - 2.6

[cyberchriss]

Hab ein problem mit meinem NAT.
Sobald ich einen Kernel > 2.4.21 installiere meckert er bei der masquerading-regel meiner FW.
Ich verwende IPtables v1.2.8.

Unter 2.4.21 funzt alles ohne probs :)

[captaincrunch]

Was genau "merkert" er denn an ? Wie sieht die Kernelconfig aus ?

[cyberchriss]

ich werde nun die daten zur fehlerdiagnose zusammenstellen :)
hab mal gegooglet und mein problem so nicht finden können.
es scheint aber mit der höheren Hz-Zahl in zusammenhang mit iptables ein problem zu geben welches angeblich in 2.6-test6 gefixt wurde (changelog)

[cyberchriss]

hier die settings für den network support:

#
# Networking support
#
CONFIG_NET=y

#
# Networking options
#
CONFIG_PACKET=y
# CONFIG_PACKET_MMAP is not set
CONFIG_NETLINK_DEV=y
CONFIG_UNIX=y
# CONFIG_NET_KEY is not set
CONFIG_INET=y
CONFIG_IP_MULTICAST=y
CONFIG_IP_ADVANCED_ROUTER=y
CONFIG_IP_MULTIPLE_TABLES=y
CONFIG_IP_ROUTE_FWMARK=y
# CONFIG_IP_ROUTE_NAT is not set
CONFIG_IP_ROUTE_MULTIPATH=y
CONFIG_IP_ROUTE_TOS=y
CONFIG_IP_ROUTE_VERBOSE=y
# CONFIG_IP_PNP is not set
# CONFIG_NET_IPIP is not set
# CONFIG_NET_IPGRE is not set
# CONFIG_IP_MROUTE is not set
# CONFIG_ARPD is not set
# CONFIG_INET_ECN is not set
# CONFIG_SYN_COOKIES is not set
# CONFIG_INET_AH is not set
# CONFIG_INET_ESP is not set
# CONFIG_INET_IPCOMP is not set

#
# IP: Virtual Server Configuration
#
# CONFIG_IP_VS is not set
# CONFIG_IPV6 is not set
# CONFIG_DECNET is not set
# CONFIG_BRIDGE is not set
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set

#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y
# CONFIG_IP_NF_TFTP is not set
# CONFIG_IP_NF_AMANDA is not set
# CONFIG_IP_NF_QUEUE is not set
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=y
CONFIG_IP_NF_MATCH_IPRANGE=y
CONFIG_IP_NF_MATCH_MAC=y
CONFIG_IP_NF_MATCH_PKTTYPE=y
CONFIG_IP_NF_MATCH_MARK=y
CONFIG_IP_NF_MATCH_MULTIPORT=y
CONFIG_IP_NF_MATCH_TOS=y
# CONFIG_IP_NF_MATCH_RECENT is not set
CONFIG_IP_NF_MATCH_ECN=y
CONFIG_IP_NF_MATCH_DSCP=y
CONFIG_IP_NF_MATCH_AH_ESP=y
CONFIG_IP_NF_MATCH_LENGTH=y
CONFIG_IP_NF_MATCH_TTL=y
CONFIG_IP_NF_MATCH_TCPMSS=y
# CONFIG_IP_NF_MATCH_HELPER is not set
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_MATCH_CONNTRACK=y
# CONFIG_IP_NF_MATCH_OWNER is not set
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
CONFIG_IP_NF_TARGET_REDIRECT=y
# CONFIG_IP_NF_TARGET_NETMAP is not set
# CONFIG_IP_NF_TARGET_SAME is not set
CONFIG_IP_NF_NAT_LOCAL=y
# CONFIG_IP_NF_NAT_SNMP_BASIC is not set
CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_MANGLE=y
CONFIG_IP_NF_TARGET_TOS=y
CONFIG_IP_NF_TARGET_ECN=y
CONFIG_IP_NF_TARGET_DSCP=y
CONFIG_IP_NF_TARGET_MARK=y
CONFIG_IP_NF_TARGET_CLASSIFY=y
CONFIG_IP_NF_TARGET_LOG=y
CONFIG_IP_NF_TARGET_ULOG=y
CONFIG_IP_NF_TARGET_TCPMSS=y
CONFIG_IP_NF_ARPTABLES=y
CONFIG_IP_NF_ARPFILTER=y
# CONFIG_IP_NF_ARP_MANGLE is not set

-------- Ende ---------

Fehlermeldungen:

/usr/local/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables: Invalid argument

/usr/local/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
iptables: Invalid argument

iptables v1.2.8

[blackdrum23]

Wird das neue Modul vom neuen Kernel geladen???

[cyberchriss]

is statischer Kernel!

[blackdrum23]

Hast du das Modul beim Kompilieren mit eingebunden, ich habe das Problem mal mit 2 Firewalls die hintereinander stehen gehabt.

[cyberchriss]

ich habe die .config des funktionierenden 2.4.21 kernels verwendet und nochmal alle einstellungen überprüft.

vielleicht kann ja mal einer bei sich nen 2.6-test8 kernel instalieren und berichten, ob masqerading bei ihm funzt?!?
ich finde das supermerkwürdig.

[captaincrunch]

Gerade eben noch gefunden : http://www.netfilter.org/documentation/ ... tml#ss3.20

('iptables: Invalid argument' after kernel update (nat table))

Ist genau das, was du suchst.