Benjamin RIOU a écrit :
Comme pour un grand nombre de cibles et de correspondances d'iptables, il faut deux éléments : - une bibliothèque libipt_truc.so située dans /lib/iptables/ et utilisée par le programme iptables lors de la création d'une règle ; - un module du noyau ipt_truc.[k]o ou xt_truc.ko situé dans /lib/modules/<version>/kernel/net/...En effet, cela n'est pas dans /lib/modules/.../kernel/net/ipv4/netfilter/ ! Vais essayer de patcher iptables avec patch-o-matic (je sens déjà les misères arriver...) afin d'y mettre en place connlimit
Ce n'est pas iptables mais le noyau qu'il faut patcher.
puisque vous me dites que c'est le mieux (c'est vrai que cela semble moins l'usine que recent).
Je n'ai pas dit ça. Je me contente de dire que connlimit et recent répondent à des besoins différents, mais je ne connais pas le besoin.
J'avais déjà essayé , mais sans grand succès :
1) Récupérer une archive récente du patch-o-matic-ng dans <http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/> (pas ceux qui font 46 octets, ils sont vides).
2) Décompresser l'archive. 3) Exécuter "./runme --download" pour télécharger le patch conlimit.4) Exécuter "./runme connlimit" pour appliquer le patch connlimit aux sources du noyau. 5) Configurer le noyau pour activer la correspondance connlimit en dur ou en module.
6) Compiler et installer le noyau.Note : il semble qu'il faille patcher le patch (!) pour qu'il fonctionne avec les dernières versions du noyau, à cause de changements intervenus dans celles-ci. Cf. les listes netfilter et/ou netfilter-devel.