[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables - Controle nombre connexions par IP



Le 02/05/07, Pascal Hambourg<pascal.mail@plouf.fr.eu.org> a écrit :
[Je coupe le passage sur la correspondance "recent", que je connais très
mal et qui me donne mal au crâne à chaque fois que je m'y frotte.]

Benjamin RIOU a écrit :
> Oui, connlimit était l'idéal pour moi, mais il me répond continuellement :
> iptables: No chain/target/match by that name
>
> Bien que le fichier libipt_connlimit.ko est bien dans /lib/iptables/
>
> Donc c'est parce que cela ne serait pas inclus au kernel ?

Voilà.

> C'est étrange dans la mesure où :
> iptables -m connlimit --help
> répond correctement.

C'est la bibliothèque libipt_connlimit d'iptables qui répond.

> et que le module connlimit est présent dans le man d'iptables...

Comme pour un grand nombre de cibles et de correspondances d'iptables,
il faut deux éléments :
- une bibliothèque libipt_truc.so située dans /lib/iptables/ et utilisée
par le programme iptables lors de la création d'une règle ;
- un module du noyau ipt_truc.[k]o ou xt_truc.ko situé dans
/lib/modules/<version>/kernel/net/... qui réalise effectivement la
fonction lorsqu'un paquet rencontre la règle. Notons que la fonction
peut être compilée en dur dans le noyau et non en module.

En effet, cela n'est pas dans /lib/modules/.../kernel/net/ipv4/netfilter/ !

Je crie à l'arnaque ;-)

Vais essayer de patcher iptables avec patch-o-matic (je sens déjà les
misères arriver...)
afin d'y mettre en place connlimit, puisque vous me dites que c'est le
mieux (c'est vrai que cela semble moins l'usine que recent).

J'avais déjà essayé , mais sans grand succès :
Pour accèder à patch-o-matic, il faut se connecter à  un svn via la commande :

svn co https://svn.netfilter.org/netfilter/trunk/module

or, je n'ai pas le programme svn d'installé, et je n'ai aucune idée de
que c'est .
   root@scenic500:#apropos svn
 svn: rien d'approprié

et aptitude search svn ne répond rien qui pourrait se lancer hors GUI.


Y a t'il une astuce ?

++ bonne nuit ;-)
Ben



Reply to: