Salut, Thierry Leurent a écrit :
GIGGz a écrit :Il y a eu apparemment un remodelage de netfilter dans le noyau. Donc iptables de sid n'est pas assez à jour ? dois je faire un rapport de bug ?Il y a eu un post à ce sujet, il y a quelques jours. Il semble qu'il faut prendre la dernier version d'iptables et la recompiler, idéalment en faire un paquet.
Histoire de tordre le cou à toutes les rumeurs qui circulent un peu partout :
Non, il n'est pas nécessaire de prendre la dernière version d'iptables, de la recompiler ou quoi que ce soit.
Oui, même le paquet binaire iptables 1.2.11 inclus dans Sarge fonctionne avec le noyau 2.6.20, et a fortiori les versions plus récentes d'Etch ou Sid (y a pas de raison). J'ai testé.
Forcément, une vieille version d'iptables/ip6tables ne supportera pas forcément toutes les fonctionnalités des derniers noyaux comme les intervalles de port avec multiport ou le suivi de connexion IPv6 et les autres nouvelles cibles et correspondances IPv6. Mais ce qui marchait avec un noyau précédent doit continuer à marcher.
Qu'est-ce qui a changé dans Netfilter du noyau 2.6.20 ? L'ajout du NAT et de la prise en charge des protocoles "spéciaux" par la nouvelle infrastructure de suivi de connection nf_conntrack. nf_conntrack est une infrastructure de suivi de connexion indépendante de la couche 3, supportant IPv4 et IPv6, destinée à remplacer l'infrastructure ip_conntrack héritée du noyau 2.4 qui ne supporte que IPv4. Lors de son introduction dans le noyau 2.6.15, nf_conntrack ne supportait pas encore le NAT et très peu de protocoles spéciaux (FTP et SCTP), donc le vieil ip_conntrack, seul capable de faire du NAT, restait le choix par défaut. Maintenant, nf_conntrack gère le NAT en IPv4 (il n'y aura probablement jamais de NAT pour IPv6) et les mêmes protocoles spéciaux que ip_conntrack (FTP, TFTP, IRC DCC, PPTP, SIP, H.323...) donc il peut totalement le remplacer. Néanmoins les deux versions du suivi de connexion et NAT, mutuellement exclusives, cohabitent encore pour un temps dans les sources du noyau et ont donc des noms d'options différents. Quand on passe de l'un à l'autre, il faut resélectionner des options pour les différentes fonctions. Pour ne rien arranger, make oldconfig semble sélectionner par défaut nf_conntrack et désélectionne les options associées à ip_conntrack dans l'ancienne configuration. C'est pourquoi si on ne fait pas attention à balayer les options des sous-menus Netfilter avec make menuconfig|xconfig|gconfig, on risque de se retrouver avec des fonctions comme le NAT absentes.
J'ai compilé deux versions du noyau 2.6.20, une avec ip_conntrack et une avec nf_conntrack, en prenant soin d'activer toutes leurs options, et les deux fonctionnent avec iptables de Sarge.
Conclusion : vérifiez vos options de compilation de Netfilter.