Kontrola i edycja ustawien Netfiltera w Kernelu.

Przedsionek /dev/null
Matrixx
Beginner
Posty: 148
Rejestracja: 03 maja 2016, 16:30

Kontrola i edycja ustawien Netfiltera w Kernelu.

Post autor: Matrixx » 13 maja 2017, 22:17

Moj Kernel:

Kod: Zaznacz cały

4.8.0-39-generic
Zamierzam zapoznac sie i ewentualnie edytowac ustawienia Netfiltera w Kernelu (Core Netfilter Configuration).
Podobnie jak:
- http://shorewall.org/kernel.htm
- https://www.mad-hacking.net/documentati ... lation.xml
- http://elixir.free-electrons.com/linux/ ... er/Kconfig
- http://www.luispa.com/archivos/704
Niby prosta sprawa a zmarnowalem kilka godzin i nic.
Napiszcie, prosze kilka konkretnych slow jak sie za to zabrac.

Pozdrawiam.

Awatar użytkownika
LordRuthwen
Moderator
Posty: 1755
Rejestracja: 18 września 2009, 21:45
Lokalizacja: klikash?

Re: Kontrola i edycja ustawien Netfiltera w Kernelu.

Post autor: LordRuthwen » 14 maja 2017, 06:55

Matrixx pisze:
13 maja 2017, 22:17
Niby prosta sprawa a zmarnowalem kilka godzin i nic.
Czyli zrobiłem...?

Awatar użytkownika
Yampress
Administrator
Posty: 5963
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Re: Kontrola i edycja ustawien Netfiltera w Kernelu.

Post autor: Yampress » 14 maja 2017, 11:23

no chyba trzeba by było ściągnąć źródła kernela, nałożyć dla tej wersji kernela patche na kernel , potem skompilować kernel z tymi opcjami co podają, ewentualnie z tymi, które się Ci pyrzydają w kernelu. Zainstalować ten skompilowany kernewl, uiruchomić, no i zacząć konfigurować netfiltera.

Chyba jesteś daleko w polu...
No chyba, że już to jest w kernelu zimplementowane, to pozostaje rozkoszować się tylko konfiguracją netfiltera.

Matrixx
Beginner
Posty: 148
Rejestracja: 03 maja 2016, 16:30

Re: Kontrola i edycja ustawien Netfiltera w Kernelu.

Post autor: Matrixx » 14 maja 2017, 13:13

Wiem, ze droga daleka i dlatego potrzebuje doswiadczonych przewodnikow, bo inaczej to bez sensu (:-(
Przeczytalem kilkanascie artykulow, bez zadnej gwarancji ze wlasciwych.
Chcialem sprawdzic wszystkie zaladowane moduly Kernela:

Kod: Zaznacz cały

 lsmod
Module                  Size  Used by
ipt_REJECT             16384  2
nf_reject_ipv4         16384  1 ipt_REJECT
ebtable_filter         16384  0
ebtables               36864  1 ebtable_filter
bridge                139264  0
stp                    16384  1 bridge
llc                    16384  2 bridge,stp
tcp_diag               16384  0
inet_diag              20480  1 tcp_diag
pci_stub               16384  1
vboxpci                24576  0
vboxnetadp             28672  0
vboxnetflt             28672  0
vboxdrv               454656  3 vboxnetadp,vboxnetflt,vboxpci
eeepc_wmi              16384  0
asus_wmi               28672  1 eeepc_wmi
sparse_keymap          16384  1 asus_wmi
ipt_MASQUERADE         16384  7
nf_nat_masquerade_ipv4    16384  1 ipt_MASQUERADE
iptable_nat            16384  1
nf_nat_ipv4            16384  1 iptable_nat
nf_nat                 24576  2 nf_nat_masquerade_ipv4,nf_nat_ipv4
xt_CHECKSUM            16384  3
xt_tcpudp              16384  12
iptable_mangle         16384  1
binfmt_misc            20480  1
snd_emu10k1_synth      20480  0
snd_emux_synth         45056  1 snd_emu10k1_synth
snd_seq_midi_emul      16384  1 snd_emux_synth
snd_seq_virmidi        16384  1 snd_emux_synth
snd_emu10k1           159744  3 snd_emu10k1_synth
snd_hda_codec_realtek    86016  1
snd_util_mem           16384  2 snd_emu10k1,snd_emux_synth
snd_ac97_codec        131072  1 snd_emu10k1
snd_hda_codec_generic    73728  1 snd_hda_codec_realtek
shpchp                 36864  0
ac97_bus               16384  1 snd_ac97_codec
snd_hda_intel          36864  3
snd_hda_codec         135168  3 snd_hda_intel,snd_hda_codec_generic,snd_hda_codec_realtek
snd_hda_core           86016  4 snd_hda_intel,snd_hda_codec,snd_hda_codec_generic,snd_hda_codec_realtek
snd_hwdep              16384  3 snd_emu10k1,snd_hda_codec,snd_emux_synth
snd_pcm               110592  5 snd_hda_intel,snd_emu10k1,snd_hda_codec,snd_hda_core,snd_ac97_codec
snd_seq_midi           16384  0
joydev                 20480  0
input_leds             16384  0
snd_seq_midi_event     16384  2 snd_seq_virmidi,snd_seq_midi
snd_rawmidi            32768  3 snd_emu10k1,snd_seq_virmidi,snd_seq_midi
snd_seq                69632  5 snd_seq_virmidi,snd_seq_midi_event,snd_seq_midi_emul,snd_seq_midi,snd_emux_synth
kvm_amd                73728  0
snd_seq_device         16384  5 snd_emu10k1,snd_seq,snd_emu10k1_synth,snd_rawmidi,snd_seq_midi
kvm                   598016  1 kvm_amd
snd_timer              32768  3 snd_emu10k1,snd_seq,snd_pcm
snd                    86016  24 snd_hda_intel,snd_emu10k1,snd_seq_virmidi,snd_hwdep,snd_seq,snd_hda_codec,snd_ac97_codec,snd_timer,snd_rawmidi,snd_hda_codec_generic,snd_seq_device,snd_hda_codec_realtek,snd_pcm,snd_emux_synth
irqbypass              16384  1 kvm
soundcore              16384  1 snd
crct10dif_pclmul       16384  0
crc32_pclmul           16384  0
ghash_clmulni_intel    16384  0
aesni_intel           167936  0
aes_x86_64             20480  1 aesni_intel
lrw                    16384  1 aesni_intel
glue_helper            16384  1 aesni_intel
ablk_helper            16384  1 aesni_intel
serio_raw              16384  0
tpm_infineon           20480  0
cryptd                 24576  3 ablk_helper,ghash_clmulni_intel,aesni_intel
emu10k1_gp             16384  0
gameport               16384  2 emu10k1_gp
i2c_piix4              24576  0
fam15h_power           16384  0
k10temp                16384  0
mac_hid                16384  0
nf_conntrack_ipv6      20480  0
nf_defrag_ipv6         36864  1 nf_conntrack_ipv6
ip6table_filter        16384  0
ip6_tables             28672  1 ip6table_filter
nf_conntrack_ipv4      16384  10
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
xt_conntrack           16384  9
xt_NFLOG               16384  4
nfnetlink_log          20480  2 xt_NFLOG
xt_limit               16384  3
iptable_filter         16384  1
nf_conntrack_netlink    40960  0
nf_conntrack          114688  7 nf_conntrack_ipv6,nf_conntrack_ipv4,nf_conntrack_netlink,nf_nat_masquerade_ipv4,xt_conntrack,nf_nat_ipv4,nf_nat
nfnetlink              16384  3 nfnetlink_log,nf_conntrack_netlink
parport_pc             32768  0
ppdev                  20480  0
lp                     20480  0
parport                49152  3 lp,parport_pc,ppdev
ip_tables              28672  3 iptable_mangle,iptable_filter,iptable_nat
x_tables               36864  13 ipt_REJECT,iptable_mangle,ip_tables,ebtables,iptable_filter,xt_tcpudp,ipt_MASQUERADE,xt_limit,xt_CHECKSUM,ip6table_filter,xt_conntrack,ip6_tables,xt_NFLOG
autofs4                40960  2
pata_acpi              16384  0
hid_generic            16384  0
usbhid                 53248  0
hid                   118784  2 hid_generic,usbhid
uas                    24576  0
usb_storage            73728  1 uas
nouveau              1572864  3
mxm_wmi                16384  1 nouveau
video                  40960  2 asus_wmi,nouveau
i2c_algo_bit           16384  1 nouveau
ttm                   102400  1 nouveau
drm_kms_helper        167936  1 nouveau
psmouse               139264  0
syscopyarea            16384  1 drm_kms_helper
sysfillrect            16384  1 drm_kms_helper
sysimgblt              16384  1 drm_kms_helper
pata_atiixp            16384  0
fb_sys_fops            16384  1 drm_kms_helper
drm                   368640  6 nouveau,ttm,drm_kms_helper
ahci                   36864  1
r8169                  81920  0
libahci                32768  1 ahci
mii                    16384  1 r8169
wmi                    16384  3 asus_wmi,mxm_wmi,nouveau
fjes                   28672  0
Chcialem zaczac od sprawdzenia jakie mam moduly Netfiltera w Kernelu i czy sa zaladowane.

Kod: Zaznacz cały

less /boot/config-4.8.0-39-generic | grep CONFIG_NETFILTER
CONFIG_NETFILTER=y
# CONFIG_NETFILTER_DEBUG is not set
CONFIG_NETFILTER_ADVANCED=y
CONFIG_NETFILTER_INGRESS=y
CONFIG_NETFILTER_NETLINK=m
CONFIG_NETFILTER_NETLINK_ACCT=m
CONFIG_NETFILTER_NETLINK_QUEUE=m
CONFIG_NETFILTER_NETLINK_LOG=m
CONFIG_NETFILTER_NETLINK_GLUE_CT=y
CONFIG_NETFILTER_SYNPROXY=m
CONFIG_NETFILTER_XTABLES=m
CONFIG_NETFILTER_XT_MARK=m
CONFIG_NETFILTER_XT_CONNMARK=m
CONFIG_NETFILTER_XT_SET=m
CONFIG_NETFILTER_XT_TARGET_AUDIT=m
CONFIG_NETFILTER_XT_TARGET_CHECKSUM=m
CONFIG_NETFILTER_XT_TARGET_CLASSIFY=m
CONFIG_NETFILTER_XT_TARGET_CONNMARK=m
CONFIG_NETFILTER_XT_TARGET_CONNSECMARK=m
CONFIG_NETFILTER_XT_TARGET_CT=m
CONFIG_NETFILTER_XT_TARGET_DSCP=m
CONFIG_NETFILTER_XT_TARGET_HL=m
CONFIG_NETFILTER_XT_TARGET_HMARK=m
CONFIG_NETFILTER_XT_TARGET_IDLETIMER=m
CONFIG_NETFILTER_XT_TARGET_LED=m
CONFIG_NETFILTER_XT_TARGET_LOG=m
CONFIG_NETFILTER_XT_TARGET_MARK=m
CONFIG_NETFILTER_XT_NAT=m
CONFIG_NETFILTER_XT_TARGET_NETMAP=m
CONFIG_NETFILTER_XT_TARGET_NFLOG=m
CONFIG_NETFILTER_XT_TARGET_NFQUEUE=m
# CONFIG_NETFILTER_XT_TARGET_NOTRACK is not set
CONFIG_NETFILTER_XT_TARGET_RATEEST=m
CONFIG_NETFILTER_XT_TARGET_REDIRECT=m
CONFIG_NETFILTER_XT_TARGET_TEE=m
CONFIG_NETFILTER_XT_TARGET_TPROXY=m
CONFIG_NETFILTER_XT_TARGET_TRACE=m
CONFIG_NETFILTER_XT_TARGET_SECMARK=m
CONFIG_NETFILTER_XT_TARGET_TCPMSS=m
CONFIG_NETFILTER_XT_TARGET_TCPOPTSTRIP=m
CONFIG_NETFILTER_XT_MATCH_ADDRTYPE=m
CONFIG_NETFILTER_XT_MATCH_BPF=m
CONFIG_NETFILTER_XT_MATCH_CGROUP=m
CONFIG_NETFILTER_XT_MATCH_CLUSTER=m
CONFIG_NETFILTER_XT_MATCH_COMMENT=m
CONFIG_NETFILTER_XT_MATCH_CONNBYTES=m
CONFIG_NETFILTER_XT_MATCH_CONNLABEL=m
CONFIG_NETFILTER_XT_MATCH_CONNLIMIT=m
CONFIG_NETFILTER_XT_MATCH_CONNMARK=m
CONFIG_NETFILTER_XT_MATCH_CONNTRACK=m
CONFIG_NETFILTER_XT_MATCH_CPU=m
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DEVGROUP=m
CONFIG_NETFILTER_XT_MATCH_DSCP=m
CONFIG_NETFILTER_XT_MATCH_ECN=m
CONFIG_NETFILTER_XT_MATCH_ESP=m
CONFIG_NETFILTER_XT_MATCH_HASHLIMIT=m
CONFIG_NETFILTER_XT_MATCH_HELPER=m
CONFIG_NETFILTER_XT_MATCH_HL=m
CONFIG_NETFILTER_XT_MATCH_IPCOMP=m
CONFIG_NETFILTER_XT_MATCH_IPRANGE=m
CONFIG_NETFILTER_XT_MATCH_IPVS=m
CONFIG_NETFILTER_XT_MATCH_L2TP=m
CONFIG_NETFILTER_XT_MATCH_LENGTH=m
CONFIG_NETFILTER_XT_MATCH_LIMIT=m
CONFIG_NETFILTER_XT_MATCH_MAC=m
CONFIG_NETFILTER_XT_MATCH_MARK=m
CONFIG_NETFILTER_XT_MATCH_MULTIPORT=m
CONFIG_NETFILTER_XT_MATCH_NFACCT=m
CONFIG_NETFILTER_XT_MATCH_OSF=m
CONFIG_NETFILTER_XT_MATCH_OWNER=m
CONFIG_NETFILTER_XT_MATCH_POLICY=m
CONFIG_NETFILTER_XT_MATCH_PHYSDEV=m
CONFIG_NETFILTER_XT_MATCH_PKTTYPE=m
CONFIG_NETFILTER_XT_MATCH_QUOTA=m
CONFIG_NETFILTER_XT_MATCH_RATEEST=m
CONFIG_NETFILTER_XT_MATCH_REALM=m
CONFIG_NETFILTER_XT_MATCH_RECENT=m
CONFIG_NETFILTER_XT_MATCH_SCTP=m
CONFIG_NETFILTER_XT_MATCH_SOCKET=m
CONFIG_NETFILTER_XT_MATCH_STATE=m
CONFIG_NETFILTER_XT_MATCH_STATISTIC=m
CONFIG_NETFILTER_XT_MATCH_STRING=m
CONFIG_NETFILTER_XT_MATCH_TCPMSS
Chcialem sprawdzic moduly iptables:

Kod: Zaznacz cały

cat /proc/net/ip_tables_matches
conntrack
conntrack
conntrack
limit
udplite
udp
tcp
icmp
lub:

Kod: Zaznacz cały

lsmod | grep ip
ipt_REJECT             16384  2
nf_reject_ipv4         16384  1 ipt_REJECT
ipt_MASQUERADE         16384  7
nf_nat_masquerade_ipv4    16384  1 ipt_MASQUERADE
iptable_nat            16384  1
nf_nat_ipv4            16384  1 iptable_nat
nf_nat                 24576  2 nf_nat_masquerade_ipv4,nf_nat_ipv4
iptable_mangle         16384  1
nf_conntrack_ipv6      20480  0
nf_defrag_ipv6         36864  1 nf_conntrack_ipv6
ip6table_filter        16384  0
ip6_tables             28672  1 ip6table_filter
nf_conntrack_ipv4      16384  10
nf_defrag_ipv4         16384  1 nf_conntrack_ipv4
iptable_filter         16384  1
nf_conntrack          114688  7 nf_conntrack_ipv6,nf_conntrack_ipv4,nf_conntrack_netlink,nf_nat_masquerade_ipv4,xt_conntrack,nf_nat_ipv4,nf_nat
ip_tables              28672  3 iptable_mangle,iptable_filter,iptable_nat
x_tables               36864  13 ipt_REJECT,iptable_mangle,ip_tables,ebtables,iptable_filter,xt_tcpudp,ipt_MASQUERADE,xt_limit,xt_CHECKSUM,ip6table_filter,xt_conntrack,ip6_tables,xt_NFLOG
Komenda "make menuconfig" nie pomogla.

Kod: Zaznacz cały

make menuconfig
make: *** No rule to make target 'menuconfig'.  Stop.
W gruncie rzeczy mam swiadomosc, ze jestem w punkcie wyjscia i chcialbym zobaczyc status wszystkich modulow Netfiltera w Kernelu w taki sposob

Kod: Zaznacz cały

 
- CONFIG_NETFILTER_NETLINK_LOG=y # Log packets via NFNETLINK interface
- CONFIG_NETFILTER_XT_TARGET_NFLOG=y # Enables NFLOG target (allows log through nfnetlink_log)
- CONFIG_NETFILTER_XT_TARGET_LOG=y # Enables LOG target (allows log through syslog) OLD METHOD
- CONFIG_IP_NF_TARGET_ULOG=n # "unset" OLD ULOG Target
, a nastepnie ewentualnie zaladowac (modprobe) te niezbedne.

Awatar użytkownika
Yampress
Administrator
Posty: 5963
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Re: Kontrola i edycja ustawien Netfiltera w Kernelu.

Post autor: Yampress » 14 maja 2017, 13:21

jeśli nie ma modułów dostępnych dla załadowanego kernela, których potrzebujesz to funkcjonalność może być wkompilowana w kernel lub w ogóle nie zbudowana.,Musisz wtedy przekompilować kernel i zaznaczyć w konfiguracji to co potrzebujesz. I jeśli się da to nie wbudowywać wszystkiego w jeden plik kernela, tylko określoną funkcjonalność zbudować jako moduły.

Matrixx
Beginner
Posty: 148
Rejestracja: 03 maja 2016, 16:30

Re: Kontrola i edycja ustawien Netfiltera w Kernelu.

Post autor: Matrixx » 14 maja 2017, 14:17

Zamierzone maslo maslane, lub pozorowanie udzielania pomocy na forum.
Postanowilem sobie, ze w pracy tez bede utrudnial na ile sie da wg przedwojennego sprawdzonego wzorca "pisz Pan na Berdyczow"
Widocznie inaczej miedzy Polakami rozmawiac sie nie da.
Zalosne.

Awatar użytkownika
dedito
Moderator
Posty: 1992
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Kontrola i edycja ustawien Netfiltera w Kernelu.

Post autor: dedito » 14 maja 2017, 14:29

Widać nasze forum ma za niskie progi dla mości pana.
Przenoszę do kosza.

Zablokowany

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości