1、我用内核>=2.4.0-test4时不能编译iptables-1.1
这是一个已知的问题,检查补丁应用的机制被中断,尝试使用make build替代make。更好的方法:升级到iptables-1.1.2或更高版本。
2、我用最近的内核(>=2.3.99-pre8)不能编译iptables1.1.0
iptables内部结构已经改变了,请升级到iptables>=1.1.1。
3、一些来自iptables>=1.2.1a的patch-o-matic补丁不能与>=2.4.4内核一起工作
请使用一个最近的iptables发布。
4、ipt_BALANCE, ip_nat_ftp, ip_nat_irc, ipt_SAME, ipt_NETMAP不能编译
最大的可能是你正在经历一个叫做ip_nat_setup_info的函数编译问题。
如果你使用是iptables<=1.2.2,你需要应用`dropped-table' 和 `ftp-fixes'补丁。
如果你使用的是iptables>1.2.2或最近的CVS版本,你不能应用`dropped-table'补丁,因为它与BALANCE, NETMAP, irc-nat, SAME and talk-nat不兼容。
5、我正在使用Alan Cox的2.4.x-acXX系列内核,我遇到问题了
netfilter核心团队都是基于Linus的内核树进行开发的,因此使用-ac系列你自己承担风险。
6、错误:Invalid option KERNEL_DIR=/usr/src/linux-2.4.19
我打赌你肯定尝试过运行类似下面这样的命令
# ./runme pending KERNEL_DIR=/usr/src/linux-2.4.19
但是bash/sh不像make,变量不能作为一个参数,在你运行runme脚本前需要设置变量:
# KERNEL_DIR=/usr/src/linux-2.4.19 ./runme pending
运行中问题
1、NAT:X dropping untracked packet Y Z aaa.aaa.aaa.aaa -> 224.bbb.bbb.bbb
这个消息是由NAT代码打印出来的,因为多播包命中了NAT表,连接跟踪不能立刻控制多播包,在你对多播没有主意的时候,或不需要它的时候,使用:
iptables -t mangle -I PREROUTING -j DROP -d 224.0.0.0/8
2、NAT: X dropping untracked packet Y Z aaa.aaa.aaa.aaa -> bbb.bbb.bbb.bbb
我的系统日志或我的终端显示下面的消息:
NAT: X dropping untracked packet Y Z aaa.aaa.aaa.aaa -> bbb.bbb.bbb.bbb
这个消息由NAT代码打印的,它丢掉了数据包,因为为了做NAT它需要有效的连接跟踪信息,这个消息为所有连接跟踪信息无效的数据包打印的。
可能的原因是:
达到了连接跟踪数据库条目的最大限制
不能确定反向数组(多播,广播)
kmem_cache_alloc失效(内存泄露)
响应未经认可的连接
多播数据包(请看前面的问题)
icmp数据包太短了
icmp变成碎片了
icmp校验和错误
如果你想得到这些包的更详细的日志信息(如:如果你怀疑它是远程探测/扫描数据包),使用下面的命令:
iptables -t mangle -A PREROUTING -j LOG -m state --state INVALID
是的,你不得不将这个规则放到mangle表中,因为数据包在抵达过滤表之前已经被NAT代码给丢掉了。
3、ip_conntrack: max number of expected connections N of M reached for aaa.aaa.aaa.aaa -> bbb.bbb.bbb.bbb
我的系统日志或终端有规则地显示下面的信息:
ip_conntrack: max number of expected connections N of M reached for aaa.aaa.aaa.aaa -> bbb.bbb.bbb.bbb
这是正常的不用担心,特别如果N和M是1,并且消息紧跟在reusing后,在linux内核特殊版本(2.4.19=<X<=2.4.21-PRE3),这个消息是为FTP打印的,实际上,在正常的FTP操作过程中可能引发这个消息。< P>
内核版本升级后(>=2.4.21-pre4)这个消息就不再出现了,如果你仍然收到与这个类似的消息,联系http://lists.netfilter.org/mailman/listinfo/netfilter-devel邮件列表。
进入讨论组讨论。
相关专题
- “艳照门”警钟!编辑教你保护个人隐私 (131次浏览)
- 艳照门启示录:要给电脑“洗澡” (103次浏览)
- 木马程序是如何实现隐藏的 (86次浏览)
- 2008上网必须注意的三大严重安全威胁 (62次浏览)
- 安全性与密码相对强度的暗战 (59次浏览)
- 为系统安全,这些网络端口可以封锁 (56次浏览)
- FCS安装和测试指南——FOREFRONT CLIENT SECU (48次浏览)
- 深入理解及配置ISA Server 2006访问规则 (47次浏览)
- Windows XP隐含超强命令加密系统 (43次浏览)
- 练就金刚不坏之身 让电脑少中点毒的8点忠告 (40次浏览)
