sslug-teknik team mailing list archive

Thread
Date

Re: ftp ipchains og kernel 2.4.0test4

To: sslug-teknik@xxxxxxxx
From: henrik@xxxxxxxxxx (Henrik St�)
Date: 28 Oct 2000 00:17:17 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.

In <8tcu5u$sdk$1@xxxxxxxxxxxx> "Peter Gade Jensen" <petergade@xxxxxxxxxx> writes:

>pga ADSL er jeg nødsaget til at upgrade vores gateway til kernel-2.4.0 og
>jeg har valgt at compile så den bruger ipchains som i kernel-2.2 istedet for
>iptabel!! Men nu virker ftp ikke?? Og jeg kan ikke finde ip_masq_ftp.o eller
>lignende?? hvordan fixes det?? Er der et sted hvor der står hvilke modules
>der har udskiftet de gamle og hvilke der skal probes først osv.??

For det første, så brug den nyeste 2.4.0-test kerne, du kan finde. I
al fald nyere en test7 - alle tidligere versioner har en bug, hvor du
i uheldige tilfælde kan miste data på maskinen.

For det andet, så vil jeg kraftigt opfordre til at du bruger de nye
iptables/netfilter funktioner i stedet for ipchains bagud-kompatibel
metoden. Jeg mener ikke at de specielle masquerading moduler fra
ipchains er blevet flyttet med over i netfilter koden.

Tag et kig på http://www.sslug.dk/sikkerhed/netfilter.html hvis du vil
se et eksempel på, hvordan man bruger netfilter reglerne.  Scriptet
der skulle faktisk være nok til at håndtere en almindelig firewall med
masquerading.

I fald du ikke helt kan overskue konfigurationen af en 2.4 kerne
med netfilter, så er her mine config-options til netfilter. Du kan
bare tilføje nedenstående til .config filen i roden af din linux
2.4 kerne-source, køre "make oldconfig" og så oversætte kernen.

CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set
CONFIG_FILTER=y
CONFIG_SYN_COOKIES=y
CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_FTP=y
# CONFIG_IP_NF_QUEUE is not set
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=y
# CONFIG_IP_NF_MATCH_MAC is not set
CONFIG_IP_NF_MATCH_MARK=y
# CONFIG_IP_NF_MATCH_MULTIPORT is not set
# CONFIG_IP_NF_MATCH_TOS is not set
CONFIG_IP_NF_MATCH_STATE=y
CONFIG_IP_NF_MATCH_UNCLEAN=y
# CONFIG_IP_NF_MATCH_OWNER is not set
CONFIG_IP_NF_FILTER=y
CONFIG_IP_NF_TARGET_REJECT=y
# CONFIG_IP_NF_TARGET_MIRROR is not set
CONFIG_IP_NF_NAT=y
CONFIG_IP_NF_NAT_NEEDED=y
CONFIG_IP_NF_TARGET_MASQUERADE=y
CONFIG_IP_NF_TARGET_REDIRECT=y
# CONFIG_IP_NF_MANGLE is not set
CONFIG_IP_NF_TARGET_LOG=y
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor

Follow ups

Re: ftp ipchains og kernel 2.4.0test4
From: Peter Gade Jensen, 2000-10-27

References

ftp ipchains og kernel 2.4.0test4
From: Peter Gade Jensen, 2000-10-27