Next Previous Contents

6. Общие проблемы

6.1 ipchains -L замирает!

Вы вероятно блокируете DNS; это будет приводить к таймаутам.

Пробуйте использовать опцию "-n" (numeric) для ipchains, который подавляет преобразование имен.

6.2 Маскарадинг/форвардинг не работают!

Удостоверьтесь, что форвардинг пакетов разрешен (в последних версиях ядра, он не блокируется по умолчанию, что означает, что пакеты не приходят в цепочку "forward"). Вы можете отменить этот (от root), введя команду

        # echo 1 > /proc/sys/net/ipv4/ip_forward
        #
Если это у вас сработает, то вы можете поместть эту строку куда-нибудь в ваши загрузочные сценарии, чтобы она выполнялась при загрузке; firewalling должен устанавливаться прежде, чем выполнится эта команда.

6.3 -j REDIR не работает!

Вы должны разрешить форвардинг пакетов (см. выше) для того, чтобы переназначение работало; иначе код маршрутизации отбрасывает пакет. Так, если вы используете только перенаправление, и вообще не используете форвардинг, то вы должны знать об этом.

Обратите внимание, что REDIR (находящийся во цепочке input) не вохдействует на соединения из локального процесса.

6.4 Уайлдкарты интерфейсов не работают!

В версиях ядра 2.1.102 и 2.1.103 имелась ошибка (и некоторых старых моих патчах), из-за которой не работали команды ipchains, в которых используется уайлдкарты интерфейсов (например, -i ppp +).

Это исправлено в последних ядрах, и в сети есть патч для ядра 2.0.34. Вы можете также установить его вручную на исходники ядра, заменив строку 63 или около того в include/linux/ip_fw.h:

      #define IP_FW_F_MASK    0x002F  /* All possible flag bits mask   */
Здесь должно стоять ``0x003F". Исправьте это, и пересоберите ядро.

6.5 TOS не работает!

Это было моей ошибкой: установка поля Type of Service фактически не устанавливала Type of Service в ядрах версий 2.1.102 - 2.1.111. Эта проблема была исправлена в 2.1.112.

6.6 ipautofw and ipportfw не работают!

Для 2.0.x это так; у меня нет времени на создание и поддержку гигантского патча для ipchains и ipautofw/ipportfw.

Для 2.1.x скачайте ipmasqadm Juan Ciarlante'а с http://juanjox.linuxhq.com/ и используйте его точно так же, как вы использовали бы ipautofw или ipportfw, за исключением того, что вместо ipportfw вы печатаете ipmasqadm portfw, а вместо ipautofw печатаете ipmasqadm autofw.

6.7 xosview падает!!

Возьмите версию 1.6.0 или выше, которым для ядер 2.1.x не требуются никаких правил firewall. Эта ошибка автора, кажется, снова появилась в версии 1.6.1 (это не моя ошибка!).

6.8 Segmentation Fault при `-j REDIRECT'!

Это была ошибка в ipchains версии 1.3.3. Пожалуйста обновите.

6.9 Я не могу установить таймауты маскарадинга!

Это было так (для ядер 2.1.x) до 2.1.123. В 2.1.124 попытка установить таймаут для маскарадинга вызывает зависание ядра (изменить return на ret = в строке 1328 net/ipv4/ip_fw.c). В 2.1.125 все прекрасно работает.

6.10 Я хочу файерволлить IPX!

Этим, как мне кажется, занимаются другие. К сожалению, мой код относится только к IP. On the good side, all the hooks are there to firewall IPX! Вам только надо написать код; я счастлив буду помочь там, где возможно.


Next Previous Contents