ip6tables и nat

[avn]

Добрый день!

Есть планы по обновлению ядра linux, что бы появился nat в ipv6?

Сейчас пробую завернуть трафик

ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 9151

, получаю ошибку

ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Ядро - Linux  4.9-ndm-3 #2 SMP Mon Oct 14 18:22:58 MSK 2019 mips GNU/Linux.

[r13]

53 минуты назад, Ivan Maslov сказал:

Добрый день!

Есть планы по обновлению ядра linux, что бы появился nat в ipv6?

Сейчас пробую завернуть трафик

ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 9151

, получаю ошибку

ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Ядро - Linux  4.9-ndm-3 #2 SMP Mon Oct 14 18:22:58 MSK 2019 mips GNU/Linux.

Оно уже есть, модули загружаете, и вперед!

[avn]

16 minutes ago, r13 said:

Оно уже есть, модули загружаете, и вперед!

А каких модулей мне не хватает и как их загрузить?

[r13]

11 минуту назад, Ivan Maslov сказал:

А каких модулей мне не хватает и как их загрузить?

Ну для начала

insmod /lib/modules/`uname -r`/nf_nat_ipv6.ko

Это сама ipv6 nat таблица

PS Компонент прошивки " Модули ядра подсистемы Netfilter " должен быть установлен

Изменено 17 ноября, 2019 пользователем r13

[avn]

3 minutes ago, r13 said:

Ну для начала

insmod /lib/modules/`uname -r`/nf_nat_ipv6.ko

Это сама ipv6 nat таблица

Пишет file exists. Проверил, файл существует.

[r13]

Только что, Ivan Maslov сказал:

Пишет file exists. Проверил, файл существует.

Теперь пробуйте вашу команду

ip6tables

[avn]

1 minute ago, r13 said:

Теперь пробуйте вашу команду

ip6tables

Ошибка такая же, как я писал выше. Возможно требуется установить дополнение " Пакет расширения Xtables-addons для Netfilter" ?

[r13]

4 минуты назад, Ivan Maslov сказал:

Ошибка такая же, как я писал выше. Возможно требуется установить дополнение " Пакет расширения Xtables-addons для Netfilter" ?

Да, устанавливайте, лишним не будет.

ЗЫ сейчас попробовал, чего-то не хватает, будем искать, на 3.1 у меня  v6 nat работал.

Изменено 17 ноября, 2019 пользователем r13

[avn]

3 minutes ago, r13 said:

Да, устанавливайте, лишним не будет.

Не, помогло, ошибка как и была.

На instmod ошибка такая - "insmod: can't insert '/lib/modules/4.9-ndm-3/nf_nat_ipv6.ko': File exists"

[avn]

9 minutes ago, r13 said:

Да, устанавливайте, лишним не будет.

ЗЫ сейчас попробовал, чего-то не хватает, будем искать, на 3.1 у меня  v6 nat работал.

Спасибо. Буду ждать.

[r13]

5 минут назад, Ivan Maslov сказал:

Спасибо. Буду ждать.

Так, грузим

insmod /lib/modules/`uname -r`/ip6table_nat.ko

И таблица заводится

[avn]

1 minute ago, r13 said:

Так, грузим

insmod /lib/modules/`uname -r`/ip6table_nat.ko

И таблица заводится

Да, спасибо, все получилось. В будущих версиях этот модуль будет загружаться автоматически? Или нужно уведомить разработчиков?

[r13]

1 минуту назад, Ivan Maslov сказал:

Да, спасибо, все получилось. В будущих версиях этот модуль будет загружаться автоматически? Или нужно уведомить разработчиков?

Нет, прошивка не загружает то чего не использует. Поэтому это остается на пользователе.

Включите загрузку этих 2х модулей при старте opkg.

[avn]

Спасибо.

[avn]

10 minutes ago, r13 said:

Включите загрузку этих 2х модулей при старте opkg.

Дико извиняюсь, это в какой файл лучше прописать?

[r13]

1 минуту назад, Ivan Maslov сказал:

Дико извиняюсь, это в какой файл лучше прописать?

Например создать

/opt/etc/init.d/S00kmod

И сделать его исполняемым

Ну и содержание:

#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

case $1 in
    start)
    insmod $MOD/nf_nat_ipv6.ko
    insmod $MOD/ip6table_nat.ko
    ;;
esac

 

[avn]

Just now, r13 said:

Например создать

/opt/etc/init.d/S00kmod

И сделать его исполняемым

Ну и содержание:

#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

case $1 in
    start)
    insmod $MOD/nf_nat_ipv6.ko
    insmod $MOD/ip6table_nat.ko
    ;;
esac

 

Спасибо, так и сделаю.

[Albram]

Я так понимаю, что это актуально только для прошивок 3.x на ядре ndm 4.x, т.к. на 2.16.D.1.0-0 с ядром 3.4.113 указанных модулей нет в /lib/modules/3.4.113/.

Из-за отсутствия nat в ipv6 в 2.16 приходится "извращаться" с перенаправлением пакетов через маркировку. Вместо одного правила получается несколько, и в перехватчике ndm часто бывает так, что какое-то правило не добавляется, и вся цепочка становится на время неработоспособной при частой очистке правил прошивкой. Использование ключа -w в правилах ip6tables улучшает ситуацию, но не устраняет полностью. С правилами iptables такой проблемы нет, только с ip6tables.

[r13]

Ну так для старого ядра не существует ipv6 nat

12 минуты назад, Albram сказал:

Я так понимаю, что это актуально только для прошивок 3.x на ядре ndm 4.x, т.к. на 2.16.D.1.0-0 с ядром 3.4.113 указанных модулей нет в /lib/modules/3.4.113/.

Из-за отсутствия nat в ipv6 в 2.16 приходится "извращаться" с перенаправлением пакетов через маркировку. Вместо одного правила получается несколько, и в перехватчике ndm часто бывает так, что какое-то правило не добавляется, и вся цепочка становится на время неработоспособной при частой очистке правил прошивкой. Использование ключа -w в правилах ip6tables улучшает ситуацию, но не устраняет полностью. С правилами iptables такой проблемы нет, только с ip6tables.

 

[Albram]

2 минуты назад, r13 сказал:

Ну так для старого ядра не существует ipv6 nat

Да, потому мне пришлось отказаться от использования ipv6, из-за описанной выше проблемы.

Когда читал этот топик, мелькнула мысль: "а вдруг?". Но нет.