Hallo Leute,

ich würde gerne auf einem netzwerkinterface nach VLAN ID filtern.

iptables ist dies ja nicht möglich.

Mit ebtables kann ich auf eine VLAN ID filtern und möglich ist es einen Marker zu setzen.

Jetzt die Frage, kann ich dann diesen Marker in iptables wieder auslesen?
Dort gibt es ja auch --mark als option.
Sind dies die gleichen Marker.

Ich bin mir da nicht ganz sicher ob diese Marker an ein Paket angehängt werden oder in einer Tabelle "privat" gespeichert sind.

Gruß Temp

hmm keiner eine Idee ob das so ist?

Gruß Temp

oha :)

Doch noch was bei google gefunden....

http://lists.netfilter.org/pipermail/netfilter/2005-October/063277.html

sieht so aus als ob es funktioniert.

Ich werde es mal probieren, und dann hier schreiben. :)

Gruß Temp

soderle, jetzt hab ich ein wenig probiert.... aber ich komm nicht ganz zurande :)

auf meiner "kleinen" linux maschine bekomm ich


wgt634u:/etc# iptables -A FORWARD -m mark --mark 0x01 -j ACCEPT
iptables: No chain/target/match by that name


und auf meiner großen debian kiste


root@lodur:~ # iptables -A FORWARD -m mark --mark 0x01 -j ACCEPT
root@lodur:~ #

funktionierts....

hat jemand ne idee was die obere Fehlemeldung mir sagen will??????

Gruß Temp

moin Temp :)



Another error that you may get when running iptables is the following error.

iptables: No chain/target/match by that name


This error tells us that there is no such chain, target or match. This could depend upon a huge set of factors, the most common being that you have misspelled the chain, target or match in question. Also, this could be generated in case you are trying to use a match that is not available, either because you did not load the proper module, it was not compiled into kernel or iptables failed to automatically load the module. In general, you should look for all of the above solutions but also look for misspelled targets of some sort or another in your rule.


http://www.faqs.org/docs/iptables/commonproblems.html

vermute Modul zum Marken ist nicht geladen?

hmm


/sbin/modprobe iptable_mangle


lieg ich damit richtig?
ein direktes mark modul hab ich nicht gefunden

Gruß Temp

Moeglicherweise habe ich /usr/lib/iptables/libipt_mark.so mit
einem eigenstaendigen Modul verwechselt. :rolleyes:

Hast du die Iptables Modul-Listen auf Client/Server mal abgeglichen?

/sbin/modprobe iptable_mangle

Wenn mich nicht alle irrt, dann ist das Modul dafür da, um Pakete zu verändern, oder?

ne noch nicht, weil ich auf der großen kiste einen kernel hatte der iptables module fest hineinkompiliert hatte. (wurde über windows mit colinux kernel gestartet)

ich muss es mal wieder direkt booten und vergleichen, da sind glaub ich die iptables module als "module" realisiert.

@Dellerium

klingt glaub so... hmmm bei google bin ich mit "iptables mark module" auch nicht fündig geworden.

ich vergleich mal die iptables module der 2 rechner

Gruß Temp

gegenüberstellung


wgt634u BOX i386 PC

arp_tables.ko arp_tables
arpt_mangle.ko arpt_mangle
arptable_filter arptable_filter
ip_conntrack_amanda ip_conntrack_amanda
ip_conntrack_tftp ip_conntrack_tftp
ip_conntrack_ftp
ip_conntrack_h323
ip_conntrack_irc
ip_conntrack
ip_conntrack_netbios_ns
ip_conntrack_netlink
ip_conntrack_pptp
ip_conntrack_proto_sctp
ip_nat.ko ip_nat
ip_nat_amanda ip_nat_amanda
ip_nat_ftp.ko ip_nat_ftp
ip_nat_irc.ko ip_nat_irc
ip_nat_snmp_basic ip_nat_snmp_basic
ip_nat_h323
ip_nat_tftp.ko ip_nat_tftp
ip_nat_pptp
ip_queue.ko ip_queue
ip_tables.ko ip_tables
ipt_DSCP.ko ipt_DSCP
ipt_ECN.ko ipt_ECN
ipt_LOG.ko ipt_LOG
ipt_MASQUERADE. ipt_MASQUERADE
ipt_NETMAP.ko iptable_raw.ko
ipt_REDIRECT.ko ipt_REDIRECT
ipt_REJECT.ko ipt_REJECT
ipt_TCPMSS.ko ipt_TCPMSS
ipt_TOS.ko ipt_TOS
ipt_ULOG.ko ipt_ULOG
ipt_ah.ko ipt_ah
ipt_dscp.ko
ipt_ecn.ko ipt_ecn
ipt_esp.ko
ipt_iprange.ko ipt_iprange.ko
ipt_multiport.k
ipt_owner.ko ipt_owner
ipt_policy.ko
ipt_recent.ko ipt_recent
ipt_tos.ko
ipt_ttl.ko ipt_ttl
iptable_filter. iptable_filter
iptable_mangle. iptable_mangle
iptable_nat.ko iptable_nat
ipt_addrtype
ipt_SAME
ipt_CLUSTERIP
ipt_tos
ipt_hashlimit
ipt_TTL
ipt_NETMAP



die module unterscheiden sich ganz schön ;)

aber jetzt ist es eindeutig:






root@lodur:/lib/modules/2.6.17-10-386/kernel/net/ipv4/netfilter # iptables -A FORWARD -m mark --mark 2 -j DROP
root@lodur:/lib/modules/2.6.17-10-386/kernel/net/ipv4/netfilter #
root@lodur:/lib/modules/2.6.17-10-386/kernel/net/ipv4/netfilter # lsmod
Module Size Used by
ipt_mark 1792 1
iptable_filter 2944 1
ip_tables 22784 2 ipt_mark,iptable_filter
binfmt_misc 12296 1
md5 4096 1
ipv6 258240 12
ntfs 105456 0
vfat 13696 0
fat 52252 1 vfat



mir fehlt auf der wgt634u ein ipt_mark modul... :°(

Ich versuch es mal hinterherzukompilieren.

Gruß Temp

ah äh einfacher :)

ich hab gerad die liste durchsucht der module.... wo steht denn da ipt_mark bei dem i386 PC? nirgends.

aber woher kommt das modul?

Ist mir jetzt nicht ganz klar wo das liegt, aber ich kann das modul auch auf der wgt634u box laden.

Nur frag ich mich echt wo die .ko Datei des modules liegt.

So, jetzt kämpf ich mit den regeln ;)

Gruß Temp