Jump to content
avn

ip6tables и nat

Recommended Posts

Добрый день!

Есть планы по обновлению ядра linux, что бы появился nat в ipv6?

Сейчас пробую завернуть трафик

ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 9151

, получаю ошибку

ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Ядро - Linux  4.9-ndm-3 #2 SMP Mon Oct 14 18:22:58 MSK 2019 mips GNU/Linux.

Share this post


Link to post
Share on other sites
53 минуты назад, Ivan Maslov сказал:

Добрый день!

Есть планы по обновлению ядра linux, что бы появился nat в ipv6?

Сейчас пробую завернуть трафик


ip6tables -t nat -A PREROUTING -i br0 -p tcp -m set --match-set unblock dst -j REDIRECT --to-ports 9151

, получаю ошибку


ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

Ядро - Linux  4.9-ndm-3 #2 SMP Mon Oct 14 18:22:58 MSK 2019 mips GNU/Linux.

Оно уже есть, модули загружаете, и вперед!

Share this post


Link to post
Share on other sites
16 minutes ago, r13 said:

Оно уже есть, модули загружаете, и вперед!

А каких модулей мне не хватает и как их загрузить?

Share this post


Link to post
Share on other sites
11 минуту назад, Ivan Maslov сказал:

А каких модулей мне не хватает и как их загрузить?

Ну для начала

insmod /lib/modules/`uname -r`/nf_nat_ipv6.ko

Это сама ipv6 nat таблица

PS Компонент прошивки " Модули ядра подсистемы Netfilter " должен быть установлен

Edited by r13

Share this post


Link to post
Share on other sites
3 minutes ago, r13 said:

Ну для начала


insmod /lib/modules/`uname -r`/nf_nat_ipv6.ko

Это сама ipv6 nat таблица

Пишет file exists. Проверил, файл существует.

Share this post


Link to post
Share on other sites
Только что, Ivan Maslov сказал:

Пишет file exists. Проверил, файл существует.

Теперь пробуйте вашу команду

ip6tables

Share this post


Link to post
Share on other sites
1 minute ago, r13 said:

Теперь пробуйте вашу команду


ip6tables

Ошибка такая же, как я писал выше. Возможно требуется установить дополнение " Пакет расширения Xtables-addons для Netfilter" ?

Share this post


Link to post
Share on other sites
4 минуты назад, Ivan Maslov сказал:

Ошибка такая же, как я писал выше. Возможно требуется установить дополнение " Пакет расширения Xtables-addons для Netfilter" ?

Да, устанавливайте, лишним не будет.

ЗЫ сейчас попробовал, чего-то не хватает, будем искать, на 3.1 у меня  v6 nat работал.

Edited by r13

Share this post


Link to post
Share on other sites
3 minutes ago, r13 said:

Да, устанавливайте, лишним не будет.

Не, помогло, ошибка как и была.

На instmod ошибка такая - "insmod: can't insert '/lib/modules/4.9-ndm-3/nf_nat_ipv6.ko': File exists"

Share this post


Link to post
Share on other sites
9 minutes ago, r13 said:

Да, устанавливайте, лишним не будет.

ЗЫ сейчас попробовал, чего-то не хватает, будем искать, на 3.1 у меня  v6 nat работал.

Спасибо. Буду ждать.

Share this post


Link to post
Share on other sites
5 минут назад, Ivan Maslov сказал:

Спасибо. Буду ждать.

Так, грузим

insmod /lib/modules/`uname -r`/ip6table_nat.ko

И таблица заводится

  • Thanks 1

Share this post


Link to post
Share on other sites
1 minute ago, r13 said:

Так, грузим


insmod /lib/modules/`uname -r`/ip6table_nat.ko

И таблица заводится

Да, спасибо, все получилось. В будущих версиях этот модуль будет загружаться автоматически? Или нужно уведомить разработчиков?

Share this post


Link to post
Share on other sites
1 минуту назад, Ivan Maslov сказал:

Да, спасибо, все получилось. В будущих версиях этот модуль будет загружаться автоматически? Или нужно уведомить разработчиков?

Нет, прошивка не загружает то чего не использует. Поэтому это остается на пользователе.

Включите загрузку этих 2х модулей при старте opkg.

Share this post


Link to post
Share on other sites
10 minutes ago, r13 said:

Включите загрузку этих 2х модулей при старте opkg.

Дико извиняюсь, это в какой файл лучше прописать?

Share this post


Link to post
Share on other sites
1 минуту назад, Ivan Maslov сказал:

Дико извиняюсь, это в какой файл лучше прописать?

Например создать

/opt/etc/init.d/S00kmod

И сделать его исполняемым

Ну и содержание:

#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

case $1 in
    start)
    insmod $MOD/nf_nat_ipv6.ko
    insmod $MOD/ip6table_nat.ko
    ;;
esac

 

Share this post


Link to post
Share on other sites
Just now, r13 said:

Например создать


/opt/etc/init.d/S00kmod

И сделать его исполняемым

Ну и содержание:


#!/bin/sh

MOD="/lib/modules/`uname -r`" # путь до модулей

case $1 in
    start)
    insmod $MOD/nf_nat_ipv6.ko
    insmod $MOD/ip6table_nat.ko
    ;;
esac

 

Спасибо, так и сделаю.

Share this post


Link to post
Share on other sites

Я так понимаю, что это актуально только для прошивок 3.x на ядре ndm 4.x, т.к. на 2.16.D.1.0-0 с ядром 3.4.113 указанных модулей нет в /lib/modules/3.4.113/.

Из-за отсутствия nat в ipv6 в 2.16 приходится "извращаться" с перенаправлением пакетов через маркировку. Вместо одного правила получается несколько, и в перехватчике ndm часто бывает так, что какое-то правило не добавляется, и вся цепочка становится на время неработоспособной при частой очистке правил прошивкой. Использование ключа -w в правилах ip6tables улучшает ситуацию, но не устраняет полностью. С правилами iptables такой проблемы нет, только с ip6tables.

Share this post


Link to post
Share on other sites

Ну так для старого ядра не существует ipv6 nat

12 минуты назад, Albram сказал:

Я так понимаю, что это актуально только для прошивок 3.x на ядре ndm 4.x, т.к. на 2.16.D.1.0-0 с ядром 3.4.113 указанных модулей нет в /lib/modules/3.4.113/.

Из-за отсутствия nat в ipv6 в 2.16 приходится "извращаться" с перенаправлением пакетов через маркировку. Вместо одного правила получается несколько, и в перехватчике ndm часто бывает так, что какое-то правило не добавляется, и вся цепочка становится на время неработоспособной при частой очистке правил прошивкой. Использование ключа -w в правилах ip6tables улучшает ситуацию, но не устраняет полностью. С правилами iptables такой проблемы нет, только с ip6tables.

 

Share this post


Link to post
Share on other sites
2 минуты назад, r13 сказал:

Ну так для старого ядра не существует ipv6 nat

Да, потому мне пришлось отказаться от использования ipv6, из-за описанной выше проблемы.

Когда читал этот топик, мелькнула мысль: "а вдруг?". Но нет.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...