Перейти к содержанию

ip6tables и nat

avn
 Поделиться

Рекомендуемые сообщения

avn Старожил

avn

Опубликовано
Опубликовано

Добрый день!

Есть планы по обновлению ядра linux, что бы появился nat в ipv6?

Сейчас пробую завернуть трафик 

ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 9151

, получаю ошибку 

ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Ядро - Linux  4.9-ndm-3 #2 SMP Mon Oct 14 18:22:58 MSK 2019 mips GNU/Linux.

r13 Старожил

r13

Опубликовано
Опубликовано
  В 17.11.2019 в 18:20, Ivan Maslov сказал:

Добрый день!

Есть планы по обновлению ядра linux, что бы появился nat в ipv6?

Сейчас пробую завернуть трафик 

ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 9151

, получаю ошибку 

ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Ядро - Linux  4.9-ndm-3 #2 SMP Mon Oct 14 18:22:58 MSK 2019 mips GNU/Linux.

Показать  

Оно уже есть, модули загружаете, и вперед!

r13 Старожил

r13

Опубликовано
Опубликовано (изменено)
  В 17.11.2019 в 19:31, Ivan Maslov сказал:

А каких модулей мне не хватает и как их загрузить?

Показать  

Ну для начала 

insmod /lib/modules/`uname -r`/nf_nat_ipv6.ko

Это сама ipv6 nat таблица

PS Компонент прошивки " Модули ядра подсистемы Netfilter " должен быть установлен

Изменено пользователем r13
avn Старожил

avn

Опубликовано
  • Автор
Опубликовано
  В 17.11.2019 в 19:45, r13 сказал:

Теперь пробуйте вашу команду 

ip6tables
Показать  

Ошибка такая же, как я писал выше. Возможно требуется установить дополнение " Пакет расширения Xtables-addons для Netfilter" ?

r13 Старожил

r13

Опубликовано
Опубликовано (изменено)
  В 17.11.2019 в 19:47, Ivan Maslov сказал:

Ошибка такая же, как я писал выше. Возможно требуется установить дополнение " Пакет расширения Xtables-addons для Netfilter" ?

Показать  

Да, устанавливайте, лишним не будет.

ЗЫ сейчас попробовал, чего-то не хватает, будем искать, на 3.1 у меня  v6 nat работал.

Изменено пользователем r13
avn Старожил

avn

Опубликовано
  • Автор
Опубликовано
  В 17.11.2019 в 19:48, r13 сказал:

Да, устанавливайте, лишним не будет.

Показать  

Не, помогло, ошибка как и была.

На instmod ошибка такая - "insmod: can't insert '/lib/modules/4.9-ndm-3/nf_nat_ipv6.ko': File exists"

avn Старожил

avn

Опубликовано
  • Автор
Опубликовано
  В 17.11.2019 в 19:48, r13 сказал:

Да, устанавливайте, лишним не будет.

ЗЫ сейчас попробовал, чего-то не хватает, будем искать, на 3.1 у меня  v6 nat работал.

Показать  

Спасибо. Буду ждать.

avn Старожил

avn

Опубликовано
  • Автор
Опубликовано
  В 17.11.2019 в 20:04, r13 сказал:

Так, грузим 

insmod /lib/modules/`uname -r`/ip6table_nat.ko

И таблица заводится

Показать  

Да, спасибо, все получилось. В будущих версиях этот модуль будет загружаться автоматически? Или нужно уведомить разработчиков?

r13 Старожил

r13

Опубликовано
Опубликовано
  В 17.11.2019 в 20:06, Ivan Maslov сказал:

Да, спасибо, все получилось. В будущих версиях этот модуль будет загружаться автоматически? Или нужно уведомить разработчиков?

Показать  

Нет, прошивка не загружает то чего не использует. Поэтому это остается на пользователе.

Включите загрузку этих 2х модулей при старте opkg.

r13 Старожил

r13

Опубликовано
Опубликовано
  В 17.11.2019 в 20:20, Ivan Maslov сказал:

Дико извиняюсь, это в какой файл лучше прописать?

Показать  

Например создать 

/opt/etc/init.d/S00kmod

И сделать его исполняемым

Ну и содержание: 

#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

case $1 in
    start)
    insmod $MOD/nf_nat_ipv6.ko
    insmod $MOD/ip6table_nat.ko
    ;;
esac

 

avn Старожил

avn

Опубликовано
  • Автор
Опубликовано
  В 17.11.2019 в 20:25, r13 сказал:

Например создать 

/opt/etc/init.d/S00kmod

И сделать его исполняемым

Ну и содержание: 

#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

case $1 in
    start)
    insmod $MOD/nf_nat_ipv6.ko
    insmod $MOD/ip6table_nat.ko
    ;;
esac

 

Показать  

Спасибо, так и сделаю.

  • 2 месяца спустя...
Albram Поставщик контента

Albram

Опубликовано
Опубликовано

Я так понимаю, что это актуально только для прошивок 3.x на ядре ndm 4.x, т.к. на 2.16.D.1.0-0 с ядром 3.4.113 указанных модулей нет в /lib/modules/3.4.113/.

Из-за отсутствия nat в ipv6 в 2.16 приходится "извращаться" с перенаправлением пакетов через маркировку. Вместо одного правила получается несколько, и в перехватчике ndm часто бывает так, что какое-то правило не добавляется, и вся цепочка становится на время неработоспособной при частой очистке правил прошивкой. Использование ключа -w в правилах ip6tables улучшает ситуацию, но не устраняет полностью. С правилами iptables такой проблемы нет, только с ip6tables.

r13 Старожил

r13

Опубликовано
Опубликовано

Ну так для старого ядра не существует ipv6 nat

  В 21.01.2020 в 11:02, Albram сказал:

Я так понимаю, что это актуально только для прошивок 3.x на ядре ndm 4.x, т.к. на 2.16.D.1.0-0 с ядром 3.4.113 указанных модулей нет в /lib/modules/3.4.113/.

Из-за отсутствия nat в ipv6 в 2.16 приходится "извращаться" с перенаправлением пакетов через маркировку. Вместо одного правила получается несколько, и в перехватчике ndm часто бывает так, что какое-то правило не добавляется, и вся цепочка становится на время неработоспособной при частой очистке правил прошивкой. Использование ключа -w в правилах ip6tables улучшает ситуацию, но не устраняет полностью. С правилами iptables такой проблемы нет, только с ip6tables.

Показать  

 

Albram Поставщик контента

Albram

Опубликовано
Опубликовано
  В 21.01.2020 в 11:15, r13 сказал:

Ну так для старого ядра не существует ipv6 nat

Показать  

Да, потому мне пришлось отказаться от использования ipv6, из-за описанной выше проблемы.

Когда читал этот топик, мелькнула мысль: "а вдруг?". Но нет.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю