Hallo zusammen

Leider ist mir einer meiner zwei Server im Internet "abgeraucht":-( Mehr dazu spaeter in einem separaten Thread.

Auf jeden Fall muss ich nun alle Dienste auf den verbleibenden Server umziehen und dazu auch meine iptables-Regeln anpassen. Wenn ich aber Regeln vom defekten Server auf den intakten uebertragen will, kommen folgende Fehlermeldungen beim Start der Firewall:

Bad argument `multiport'
-und-
Bad argument `conntrack'
Beide Server sind openSuSI 13.2, auf beiden Servern ist das Paket
libnetfilter_conntrack3-1.0.4-4.2.1.x86_64installiert, die conntrack-tools auf beiden Servern nicht. Die Version von iptables ist identisch.

Trotzdem laeuft es auf dem einen (defekten), auf dem anderen (intakten) nicht. Was koennte da noch fehlen?

Gruss Pit.

Ergaenzung:
Wenn ich ein
iptables -L -nauf dem intakten Server absetze, werden mir sowohl Eintraege mit "multiport" als auch Eintraege mit "ctstate" (welches ja aus conntrack kommt) angezeigt. Strange?!

Trotzdem funktioniert meine IP-Telefonie (via FritzBox) nicht, obwohl laut obigem Befehl eigentlich alles gut aussieht. Any ideas?

Gruss Pit.

Es wird immer mysterioeser: Das originale Firewall-Setup, welches vorher auf dem intakten Server gelaufen ist, enthaelt ebenfalls "multiport" und "conntrack" Anweisungen. Dieses wird ohne Fehlermeldung geladen. Dann wird wohl ein einzelnes Statement fehlerhaft sein und nicht der Parameter als solcher. Ich suche weiter und halte Euch auf dem Laufenden;-)

Gruss Pit.

Bad argument `multiport'
-und-
Bad argument `conntrack'


Sieht nach Tippfehler mit den Gänsefüßchen aus.

Hallo zusammen

OK, kurze Zusammenfassung. Ich hatte zwei Server im Internet (beide mit openSuSI 13.2 auf dem gleichen Update-Stand):
Server 1 (der Leistungsschwaechere) war eigentlich nur Mail- und NIS-Server
Server 2 (der Staerkere) war fuer Squid und den ganzen Internet-Verkehr zustaendig sowie fuer div. interne Services wie Nagios etc. Er war auch Default-GW fuer alles, was direkten Zugang ins Internet brauchte.

Server 2 hat wahrscheinlich einen HW-Defekt, weshalb ich ihn ausser Betrieb nehmen musste:-( Daher musste ich alle Dienste auf Server 1 umhaengen. Was bereits auf Server 1 funktioniert:
- squid fuer den Internet-Zugang aus dem internen Netz
- Mail (wie bisher)

Server 1 ist im DHCP als Router eingetragen und wird auf meiner Workstation auch so angezeigt (Befehl "route" -> Default-Gateway). Komischerweise habe ich im firewall-Log aber keinerlei Eintraege von irgendwelchen abgewiesenen Verbindungsversuchen von Applikationen, die "nach Hause telefonieren" wollen. Die letzten Eintraege datieren vom Dezember 2015, wo ich diesen temporaer als Default definiert hatte, weil ich Server 2 fuer einige Zeit ausser Betrieb genommen hatte.

Jetzt (nach zwei Tagen Betrieb in der aktuellen Konfiguration) finden sich im Firewall-Log von Server 1 keinerlei Eintraege, dass irgendeine Verbindung via Port 80 abgewiesen wurde. Auch mein MobilFon, welches als einziges Device hier via WLAN ohne squid ins Internet darf, erzeugt keinerlei Logeintrage (auch wenn ich die entspr. erlaubende Firewall-Regel entferne). Daher vermute ich, dass irgendwo noch eine generelle Einstellung fehlt, die aus dem Betrieb mit zwei Servern stammt. Anscheinend kommen die Requests fuer meinen VoIP-Provider und mein MobilFon gar nicht beim Server 1 an.

Was koennte ich probieren? Welche Infos fehlen? Ich sehe im Moment den Wald vor lauter Baeumen nicht mehr;-(

Gruss Pit.

Sieht nach Tippfehler mit den Gänsefüßchen aus.Nein, das sind keine Tipfehler.
Viele GNU Tools melden ihre Fehler mit diesem schrägen "Quoting".

Ich habe mal nachgefragt; es wusste niemand so wirklich.
Es wird vermutet, dass das "Fehlermeldungs-Quoting" sich damit vom normalen Quoting (was ja in einer Meldung auch vorkommen kann) unterscheiden lässt.

Sieht nach Tippfehler mit den Gänsefüßchen aus.
Nein, ist es leider nicht. Habe diese Zeile 1:1 vom funktionierenden Server 2 kopiert. Hmpf! Bin wirklich ratlos:-(

Gruss Pit.

Nein, das sind keine Tipfehler.
Viele GNU Tools melden ihre Fehler mit diesem schrägen "Quoting".

Ich habe mal nachgefragt; es wusste niemand so wirklich.
Es wird vermutet, dass das "Fehlermeldungs-Quoting" sich damit vom normalen Quoting (was ja in einer Meldung auch vorkommen kann) unterscheiden lässt.
Dann ist mir das noch nie so aufgefallen. Also die unterschiedlichen Quotungs? ` und ' !?


Wie sieht denn das restliche Script und die Netzwerkkonfiguration aus?

Also, wenn das wirklich in einem Script steht, ist es entweder falsch, oder unvollständig.
(Unvollständig, weil danach irgendwo ein ' .* ` kommen müsste. Falsch, wenn nicht. (Falls es ein Shellscript ist))

Ich halte das nach wie vor für die (Fehlermeldungs-) Ausgabe eines Scriptes/Programms.

Wenn nicht, würde mich das Script auch brennend interessieren.

Sorry, bin am Koffer packen, muss mich leider bis am Mittwoch 16.08.2016 abmelden. Der Job ruft-:)

Gruss Pit.

Viel Glück [emoji15]

Viel Glück [emoji15]Muss nun doch erst heute mittag los.

Diese Seite hier (http://www.ducea.com/2006/08/01/how-to-enable-ip-forwarding-in-linux/) hat mich auf den richtigen Weg gewiesen;-) ipv4-forward stand natuerlich auf "0" bei mir:-( Nun funktioniert auch die VoIP-Telefonie wieder, und es gibt auch keine Fehlermeldung betreffend conntrack und multiport mehr beim Start von iptables. Das Mobil-Fon kann via WLAN immer noch keine Daten abrufen, aber das finde ich auch noch raus.

Besten Dank fuer die Ideen und Tips.

Gruss Pit.