connlimit - chyba pri kompilacii

Potrebujem obmedzovat pocet spojeni, chcel som pouzit connlimit. V debiane 3.1 ho vsak distribucne jadro 2.6.8-2 nema. Stiahol som zdrojaky distribucneho jadra, iptables a najnovsi patch-o-matic-ng. Opatchovanie jadra prebehne v poriadku, ale pri kompilacii modulov nastane chyba:

net/ipv4/netfilter/ipt_connlimit.c: In function `count_them':
net/ipv4/netfilter/ipt_connlimit.c:68: error: structure has no member named `proto'
make[3]: *** [net/ipv4/netfilter/ipt_connlimit.o] Error 1

Robim nieco nespravne? Co sa este da pouzit na limitovanie poctu pripojeni?

Odpovědi

chyba je ve nekompatibilni zmene v novych kernelech, se kterou jiz novy PoM pocita. takze mate 3 moznosti: 1) pouzit starti PoM 2) pouzit nove jadro 3) priohnout si novy PoM (neni to tak hrozne jak to vypada, vetsinou pri porovnani odpovidajicich include souboru uvidite co se zmenilo a pak uz to je hracka)

Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?

22.1.2006 16:15 secido | skóre: 27
Rozbalit Rozbalit vše Re: connlimit - chyba pri kompilacii

Konkretne ktoru verziu PoM mam pouzit?

22.1.2006 18:08 Nikola Ciprich | skóre: 23 | blog: NiX_blog | Palkovice
Rozbalit Rozbalit vše Re: connlimit - chyba pri kompilacii

no to je docela problem, vzhledem k tomu, ze prestali vydavat releasy a nyni uz jsou k dispozici pouze snapshoty. zkusil bych neco z doby 2.6.8, nebo spise trochu novejsi...

Did you ever touch the starlight ? Dream for a thousand years? Have you ever seen the beauty Of a newborn century?

kdyz se podivate do adresarove struktury toho patch-o-matic tak tam najdete jeden adresar jak pro stare jadra tak druhy pro nove, staci to nakopirovat/prepsat a je to.

22.1.2006 20:28 secido
Rozbalit Rozbalit vše Re: connlimit - chyba pri kompilacii

Podarilo sa mi to skompilovat. Dik za radu. Horsie je, ze to nefunguje: iptables -A FORWARD -p tcp -s 192.168.1.71 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset nerobi nic. V pohode sa nadvazuju nove spojenia. Nechcel som restartovat, tak som nahral modul cez insmod ipt_connlimit.ko. Nebude problem tam?

22.1.2006 21:33 hele
Rozbalit Rozbalit vše Re: connlimit - chyba pri kompilacii

tezko rict ja to uzivam v sekcenci


/sbin/iptables -p tcp -I INPUT -i eth0 --syn -m connlimit --connlimit-above 16 --destination-port 80  -j vyhazenespojeni

zkuste tam pridat jen na --syn, ve zdrojacich s tim neco laborovali a mozna v te stare verzi to neni poresene.

23.1.2006 11:08 secido | skóre: 27
Rozbalit Rozbalit vše Re: connlimit - chyba pri kompilacii

Skusal som aj zo --syn, nemalo to ziadny vplyv. Pozriem sa na ten zdrojak, pripadne novsi kernel.

24.1.2006 16:13 secido | skóre: 27
Rozbalit Rozbalit vše Re: connlimit - chyba pri kompilacii

Prekompiloval som modul s podporou s #define DEBUG 1. Kde najdem debugovacie vypisy?

27.1.2006 19:09 karel
Rozbalit Rozbalit vše Re: connlimit - chyba pri kompilacii

ja ten connlimit používám, a zjistil sem že to nějak nefunguje na p2p sítě. Když si třeba povolim 2 spojení na portu 22 SSH tak to jde jak ma. 3x me to nikam pripojit nenecha jen 2x. Ale když se podívám do kerio winroute firewallu tak lidi co používaj p2p tak maj treba 1000 pojení a to to mam nastaveno na 10. takže sem boj proti p2p vzdal. protože i naky fuzzy a limit sou naprd, protože se pak seka skype nebo nejdou hrat hry. A ipp2p je knicemu. Jediny co ipp2p umi dobre blokovat je dc++ ale to je snad jedinej program kterej mi v síti nevadí, protoze narozdil od bittorentu nedělá tisíce nesmyslných pojení.

Dotaz: connlimit - chyba pri kompilacii

Odpovědi