Jump to content

ip6tables и nat


Recommended Posts

Добрый день!

Есть планы по обновлению ядра linux, что бы появился nat в ipv6?

Сейчас пробую завернуть трафик

ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 9151

, получаю ошибку

ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Ядро - Linux  4.9-ndm-3 #2 SMP Mon Oct 14 18:22:58 MSK 2019 mips GNU/Linux.

Link to comment
Share on other sites

53 минуты назад, Ivan Maslov сказал:

Добрый день!

Есть планы по обновлению ядра linux, что бы появился nat в ipv6?

Сейчас пробую завернуть трафик


ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 9151

, получаю ошибку


ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Ядро - Linux  4.9-ndm-3 #2 SMP Mon Oct 14 18:22:58 MSK 2019 mips GNU/Linux.

Оно уже есть, модули загружаете, и вперед!

Link to comment
Share on other sites

11 минуту назад, Ivan Maslov сказал:

А каких модулей мне не хватает и как их загрузить?

Ну для начала

insmod /lib/modules/`uname -r`/nf_nat_ipv6.ko

Это сама ipv6 nat таблица

PS Компонент прошивки " Модули ядра подсистемы Netfilter " должен быть установлен

Edited by r13
Link to comment
Share on other sites

Только что, Ivan Maslov сказал:

Пишет file exists. Проверил, файл существует.

Теперь пробуйте вашу команду

ip6tables
Link to comment
Share on other sites

1 minute ago, r13 said:

Теперь пробуйте вашу команду


ip6tables

Ошибка такая же, как я писал выше. Возможно требуется установить дополнение " Пакет расширения Xtables-addons для Netfilter" ?

Link to comment
Share on other sites

4 минуты назад, Ivan Maslov сказал:

Ошибка такая же, как я писал выше. Возможно требуется установить дополнение " Пакет расширения Xtables-addons для Netfilter" ?

Да, устанавливайте, лишним не будет.

ЗЫ сейчас попробовал, чего-то не хватает, будем искать, на 3.1 у меня  v6 nat работал.

Edited by r13
Link to comment
Share on other sites

3 minutes ago, r13 said:

Да, устанавливайте, лишним не будет.

Не, помогло, ошибка как и была.

На instmod ошибка такая - "insmod: can't insert '/lib/modules/4.9-ndm-3/nf_nat_ipv6.ko': File exists"

Link to comment
Share on other sites

9 minutes ago, r13 said:

Да, устанавливайте, лишним не будет.

ЗЫ сейчас попробовал, чего-то не хватает, будем искать, на 3.1 у меня  v6 nat работал.

Спасибо. Буду ждать.

Link to comment
Share on other sites

5 минут назад, Ivan Maslov сказал:

Спасибо. Буду ждать.

Так, грузим

insmod /lib/modules/`uname -r`/ip6table_nat.ko

И таблица заводится

  • Thanks 1
Link to comment
Share on other sites

1 minute ago, r13 said:

Так, грузим


insmod /lib/modules/`uname -r`/ip6table_nat.ko

И таблица заводится

Да, спасибо, все получилось. В будущих версиях этот модуль будет загружаться автоматически? Или нужно уведомить разработчиков?

Link to comment
Share on other sites

1 минуту назад, Ivan Maslov сказал:

Да, спасибо, все получилось. В будущих версиях этот модуль будет загружаться автоматически? Или нужно уведомить разработчиков?

Нет, прошивка не загружает то чего не использует. Поэтому это остается на пользователе.

Включите загрузку этих 2х модулей при старте opkg.

Link to comment
Share on other sites

1 минуту назад, Ivan Maslov сказал:

Дико извиняюсь, это в какой файл лучше прописать?

Например создать

/opt/etc/init.d/S00kmod

И сделать его исполняемым

Ну и содержание:

#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

case $1 in
    start)
    insmod $MOD/nf_nat_ipv6.ko
    insmod $MOD/ip6table_nat.ko
    ;;
esac

 

Link to comment
Share on other sites

Just now, r13 said:

Например создать


/opt/etc/init.d/S00kmod

И сделать его исполняемым

Ну и содержание:


#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

case $1 in
    start)
    insmod $MOD/nf_nat_ipv6.ko
    insmod $MOD/ip6table_nat.ko
    ;;
esac

 

Спасибо, так и сделаю.

Link to comment
Share on other sites

  • 2 months later...

Я так понимаю, что это актуально только для прошивок 3.x на ядре ndm 4.x, т.к. на 2.16.D.1.0-0 с ядром 3.4.113 указанных модулей нет в /lib/modules/3.4.113/.

Из-за отсутствия nat в ipv6 в 2.16 приходится "извращаться" с перенаправлением пакетов через маркировку. Вместо одного правила получается несколько, и в перехватчике ndm часто бывает так, что какое-то правило не добавляется, и вся цепочка становится на время неработоспособной при частой очистке правил прошивкой. Использование ключа -w в правилах ip6tables улучшает ситуацию, но не устраняет полностью. С правилами iptables такой проблемы нет, только с ip6tables.

Link to comment
Share on other sites

Ну так для старого ядра не существует ipv6 nat

12 минуты назад, Albram сказал:

Я так понимаю, что это актуально только для прошивок 3.x на ядре ndm 4.x, т.к. на 2.16.D.1.0-0 с ядром 3.4.113 указанных модулей нет в /lib/modules/3.4.113/.

Из-за отсутствия nat в ipv6 в 2.16 приходится "извращаться" с перенаправлением пакетов через маркировку. Вместо одного правила получается несколько, и в перехватчике ndm часто бывает так, что какое-то правило не добавляется, и вся цепочка становится на время неработоспособной при частой очистке правил прошивкой. Использование ключа -w в правилах ip6tables улучшает ситуацию, но не устраняет полностью. С правилами iptables такой проблемы нет, только с ip6tables.

 

Link to comment
Share on other sites

2 минуты назад, r13 сказал:

Ну так для старого ядра не существует ipv6 nat

Да, потому мне пришлось отказаться от использования ipv6, из-за описанной выше проблемы.

Когда читал этот топик, мелькнула мысль: "а вдруг?". Но нет.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...