Salut,
Thierry Leurent a écrit :
GIGGz a écrit :
Il y a eu apparemment un remodelage de netfilter dans le noyau. Donc
iptables de sid n'est pas assez à jour ? dois je faire un rapport de bug ?
Il y a eu un post à ce sujet, il y a quelques jours.
Il semble qu'il faut prendre la dernier version d'iptables et la
recompiler, idéalment en faire un paquet.
Histoire de tordre le cou à toutes les rumeurs qui circulent un peu
partout :
Non, il n'est pas nécessaire de prendre la dernière version d'iptables,
de la recompiler ou quoi que ce soit.
Oui, même le paquet binaire iptables 1.2.11 inclus dans Sarge fonctionne
avec le noyau 2.6.20, et a fortiori les versions plus récentes d'Etch ou
Sid (y a pas de raison). J'ai testé.
Forcément, une vieille version d'iptables/ip6tables ne supportera pas
forcément toutes les fonctionnalités des derniers noyaux comme les
intervalles de port avec multiport ou le suivi de connexion IPv6 et les
autres nouvelles cibles et correspondances IPv6. Mais ce qui marchait
avec un noyau précédent doit continuer à marcher.
Qu'est-ce qui a changé dans Netfilter du noyau 2.6.20 ? L'ajout du NAT
et de la prise en charge des protocoles "spéciaux" par la nouvelle
infrastructure de suivi de connection nf_conntrack. nf_conntrack est une
infrastructure de suivi de connexion indépendante de la couche 3,
supportant IPv4 et IPv6, destinée à remplacer l'infrastructure
ip_conntrack héritée du noyau 2.4 qui ne supporte que IPv4. Lors de son
introduction dans le noyau 2.6.15, nf_conntrack ne supportait pas encore
le NAT et très peu de protocoles spéciaux (FTP et SCTP), donc le vieil
ip_conntrack, seul capable de faire du NAT, restait le choix par défaut.
Maintenant, nf_conntrack gère le NAT en IPv4 (il n'y aura probablement
jamais de NAT pour IPv6) et les mêmes protocoles spéciaux que
ip_conntrack (FTP, TFTP, IRC DCC, PPTP, SIP, H.323...) donc il peut
totalement le remplacer. Néanmoins les deux versions du suivi de
connexion et NAT, mutuellement exclusives, cohabitent encore pour un
temps dans les sources du noyau et ont donc des noms d'options
différents. Quand on passe de l'un à l'autre, il faut resélectionner des
options pour les différentes fonctions. Pour ne rien arranger, make
oldconfig semble sélectionner par défaut nf_conntrack et désélectionne
les options associées à ip_conntrack dans l'ancienne configuration.
C'est pourquoi si on ne fait pas attention à balayer les options des
sous-menus Netfilter avec make menuconfig|xconfig|gconfig, on risque de
se retrouver avec des fonctions comme le NAT absentes.
J'ai compilé deux versions du noyau 2.6.20, une avec ip_conntrack et une
avec nf_conntrack, en prenant soin d'activer toutes leurs options, et
les deux fonctionnent avec iptables de Sarge.
Conclusion : vérifiez vos options de compilation de Netfilter.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]