主題: 有關自行cp iptables 所產生Unknown arg `--dport'錯誤

[ticks0628]

問題如下:
>iptables -A INPUT -p tcp -s 0/0 -d 192.168.10.253 --dport 80 -j ACCEPT

iptables v1.2.8: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

代碼: [選擇]


分析一:東西都有co到
[root@(none) /]# ldd /sbin/iptables
        libdl.so.2 => /lib/libdl.so.2 (0x4d104000)
        libc.so.6 => /lib/i686/libc.so.6 (0x4cfa3000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x4cf8b000)
分析二:ip_forward 有
[root@(none) /]# cat /proc/sys/net/ipv4/ip_forward
1

分析三:竟然可以動!!!  ( PS:相同的kernel , iptables)
[root@(none) /]#chroot /mnt/3
[(none) /]#
    iptables -A INPUT -p tcp -s 0/0 -d 192.168.10.253 --dport 80 -j ACCEPT
[(none) /]#iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             192.168.10.253     tcp dpt:http

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


root@(none)是我自己弄的小系統,  (none)是硬碟上的系統, 用fedora 1 灌的
不過我是用chroot 進去的,不是重新啟動, 所以沒run甚麼init.d的東西

[分析4]
 kernel是自己編的, 有關Netfilter Configuration 都buildin(通通)
 Networking Options 那一頁幾乎都buillld進去了...天阿, 還是不會動..
 怎會這樣呢.
 

我只有cp iptables 到小系統, 其他沒co, 我是不是漏了甚麼?



[kenduest]

問題如下:
>iptables -A INPUT -p tcp -s 0/0 -d 192.168.10.253 --dport 80 -j ACCEPT

iptables v1.2.8: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

代碼: [選擇]


分析一:東西都有co到
[root@(none) /]# ldd /sbin/iptables
        libdl.so.2 => /lib/libdl.so.2 (0x4d104000)
        libc.so.6 => /lib/i686/libc.so.6 (0x4cfa3000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x4cf8b000)
分析二:ip_forward 有
[root@(none) /]# cat /proc/sys/net/ipv4/ip_forward
1

分析三:竟然可以動!!!  ( PS:相同的kernel , iptables)
[root@(none) /]#chroot /mnt/3
[(none) /]#
    iptables -A INPUT -p tcp -s 0/0 -d 192.168.10.253 --dport 80 -j ACCEPT
[(none) /]#iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             192.168.10.253     tcp dpt:http

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


root@(none)是我自己弄的小系統,  (none)是硬碟上的系統, 用fedora 1 灌的
不過我是用chroot 進去的,不是重新啟動, 所以沒run甚麼init.d的東西

[分析4]
 kernel是自己編的, 有關Netfilter Configuration 都buildin(通通)
 Networking Options 那一頁幾乎都buillld進去了...天阿, 還是不會動..
 怎會這樣呢.
 

我只有cp iptables 到小系統, 其他沒co, 我是不是漏了甚麼?



1. rpm -ql iptables，裡面有一堆 iptables module 檔案要複製。

2. kernel 的 module 裡面也有 netfilter 目錄，裡面是  kernel module 也要複製。

-

[ticks0628]

可是我netfiler全部都buildin....不用在帶module吧....
(我kernel全部buildin, 共1.5M左右)

/lib/iptables 裡頭的檔案也都帶到這個系統了....重跑ldconfig

嗚嗚....怪...還是出現一樣的錯誤....學長們救命阿..

[ticks0628]

沒人救我只好自己推了..

[jade-rabbit]

要不要把這篇移往 Linux ?因為 iptables is for Linux

我以前也碰過 unknow arg --dport
後來去看了一下 iptables-save 結果
加上 -m tcp (match tcp)
應可以解決^^
If no problem, 我開始懷疑是 kernel netfilter module built-in 才會有此問題。

[kenduest]

可是我netfiler全部都buildin....不用在帶module吧....
(我kernel全部buildin, 共1.5M左右)

/lib/iptables 裡頭的檔案也都帶到這個系統了....重跑ldconfig

嗚嗚....怪...還是出現一樣的錯誤....學長們救命阿..

那你有沒有考慮過重新編譯 iptables 這個程式？

編譯 iptables 時，會參考 /usr/src/linux 裡面的 netfilter 組態設定，然後產生最後的 iptables 與相關 iptables 程式要用的 module 檔案。

所以推測您目前大概是 kernel 組態配置與 iptables 程式架構可能不大一樣吧。

-

[kenduest]

要不要把這篇移往 Linux ?因為 iptables is for Linux

我以前也碰過 unknow arg --dport
後來去看了一下 iptables-save 結果
加上 -m tcp (match tcp)
應可以解決^^
If no problem, 我開始懷疑是 kernel netfilter module built-in 才會有此問題。

iptables 的 source 對於使用 -p tcp 使用方式來說，會引入 tcp 的 match extension module，

代碼: [選擇]


tcp
       These extensions are loaded if `--protocol tcp' is specified.

不過是否是 kernel builtin 的問題，這個是很值得測試。

-

[ticks0628]

可是我netfiler全部都buildin....不用在帶module吧....
(我kernel全部buildin, 共1.5M左右)

/lib/iptables 裡頭的檔案也都帶到這個系統了....重跑ldconfig

嗚嗚....怪...還是出現一樣的錯誤....學長們救命阿..

那你有沒有考慮過重新編譯 iptables 這個程式？

編譯 iptables 時，會參考 /usr/src/linux 裡面的 netfilter 組態設定，然後產生最後的 iptables 與相關 iptables 程式要用的 module 檔案。

所以推測您目前大概是 kernel 組態配置與 iptables 程式架構可能不大一樣吧。

-

]

解決了感謝各位大大
原因我等等候補....跟大家的推測差不多....
害我去追1.2.9 的source...嗚嗚.......
等等再來.....老闆在追了