непонятка с iptables. что такое No chain/target/match by that name? [SOLVED]

[Fyodorov.Alexey]

Всем привет и с прошедшим днем сисадмина

Вопчем возникла вдруг проблема.. Не пойму в чем дело - пытаюсь добавить правило

iptables -t mangle -A PREROUTING -i eth1 -j TTL --ttl-set 64

ну.. вы сами знаете, для чего такое правило.

но iptables вместо того, чтобы гордо промолчать, выдает вот что -

iptables: No chain/target/match by that name

ну что ему надо?... правило из азбуки, из букваря, блин.

может в ядре чего-то не хватает?..

ЗЫ и совершенно то же самое для iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64

и то же самое для

iptables -t mangle -A PREROUTING -j TTL --ttl-set 64

подсобите пожалуйста советом, кто знает. оч охота поставить всем пакетам одинаковый TTL.

[Hans R. Steiner]

Совершенно правильно он говорит... нет у него такой цепочки TTL..

надо писать не -j, а -m

[Fyodorov.Alexey]

да, действительно...

но не тут-то было -

Heffalump ~ # iptables -t mangle -A PREROUTING -i eth1 -m TTL --ttl-set 64

iptables v1.3.4: Couldn't load match `TTL'

Try `iptables -h' or 'iptables --help' for more information.

(похоже ошибся в регистре критерия. исправляюсь.)

Heffalump ~ # iptables -t mangle -A PREROUTING -i eth1 -m ttl --ttl-set 64

Ошибка сегментирования

какая-такая ошибка сегментирования?

[Hans R. Steiner]

А цель-то у правила какая? -j тоже указать не мешало бы...

[Hans R. Steiner]

Хотя, это я ступил...

действительно, правило должно быть

iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64

а ошибка говорит о том, что iptables не поддерживает цель TTL

т.е., надо перекомпилить его...

[Fyodorov.Alexey]

я не выпендриваясь действую согласно мануала -

http://www.opennet.ru/docs/RUS/iptables/

пункт 6.5.14. - Действие TTL

(далее копипаст из мануала) -

Ключ --ttl-set

Пример iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64

Описание Устанавливает поле TTL в заданное значение. Оптимальным считается значение около 64. Это не слишком много, но и не слишком мало Не задавайте слишком большое значение, это может иметь неприятные последствия для вашей сети. Представьте себе, что пакет "зацикливается" между двумя неправильно сконфигурированными роутерами, тогда, при больших значениях TTL, есть риск "потерять" значительную долю пропускной способности канала.

---

данный пример у меня не работает - ошибка "iptables: No chain/target/match by that name"

цель у правила - изменить в таблице mangle значение поля TTL пакета, попадающего на eth0

[Fyodorov.Alexey]

перекомпилил..

~ # USE="extensions" emerge -av iptables

1185701562:  *** emerge --ask --verbose iptables
1185701570:  >>> emerge (1 of 1) net-firewall/iptables-1.3.5-r4 to /
1185701570:  === (1 of 1) Cleaning (net-firewall/iptables-1.3.5-r4::/usr/portage/net-firewall/iptables/iptables-1.3.5-r4.ebuild)
1185701571:  === (1 of 1) Compiling/Merging (net-firewall/iptables-1.3.5-r4::/usr/portage/net-firewall/iptables/iptables-1.3.5-r4.ebuild)
1185701669:  >>> AUTOCLEAN: net-firewall/iptables
1185701669: === Unmerging... (net-firewall/iptables-1.3.4)
1185701672:  >>> unmerge success: net-firewall/iptables-1.3.4
1185701672:  === (1 of 1) Post-Build Cleaning (net-firewall/iptables-1.3.5-r4::/usr/portage/net-firewall/iptables/iptables-1.3.5-r4.ebuild)
1185701672:  ::: completed emerge (1 of 1) net-firewall/iptables-1.3.5-r4 to /
1185701672:  *** Finished. Cleaning up...
1185701673:  *** exiting successfully.

~ # iptables -V

iptables v1.3.5

~ # iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 64

iptables: No chain/target/match by that name

(перекомпиляция не помогла

[Fyodorov.Alexey]

похоже разобрался..

в ядре (IP - Netfilter configuration) не была установлена поддержка packet mangling ->TTL target support

ща буду ядро пересобирать

PS точно так оно и было. после пересборки ядра с включенной опцией TTL target support правило добавилось без вопросов.