Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[Iptables] Nuovo kernel e comandi non più supportati
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano
View previous topic :: View next topic  
Author Message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Sun Nov 13, 2005 12:39 pm    Post subject: [Iptables] Nuovo kernel e comandi non più supportati Reply with quote

Con il nuovo kernel (2.6.14) ricevo questo messaggio in dmesg
Code:
ipt_owner: pid, sid and command matching not supported anymore

in pratica il comando
Code:
-m owner --cmd-owner <nomecomando>
non è più accettato... :cry:
Si pone la domanda di come fare altrimenti.... come bloccare la via a tutti i processi generati da un particolare comando?
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
.:chrome:.
Advocate
Advocate


Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy

PostPosted: Sun Nov 13, 2005 12:46 pm    Post subject: Re: [Iptables] Nuovo kernel e comandi non più supportati Reply with quote

io quell'opzione ce l'ho ancora... prova a controllare forse l'hai disattivata erroneamente
Code:
│ CONFIG_IP_NF_MATCH_OWNER:

│ Packet owner matching allows you to match locally-generated packets
│ based on who created them: the user, group, process or session.
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Sun Nov 13, 2005 2:16 pm    Post subject: Reply with quote

veramente ce l'ho ancora...
Code:
ale@heavensdoor ~ $ cat /boot/config-2.6.14-gentoo-r2 |grep CONFIG_IP_NF_MATCH_OWNER
CONFIG_IP_NF_MATCH_OWNER=y

Eppure ricevo quel messaggio (più ovviamente un errore in console quando lancio lo script)
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
makoomba
Bodhisattva
Bodhisattva


Joined: 03 Jun 2004
Posts: 1856

PostPosted: Sun Nov 13, 2005 3:03 pm    Post subject: Reply with quote

il modulo c'è ma non sono più disponibili quei match
Code:
ipt_owner: pid, sid and command matching not supported anymore

restano solo uid e gid
peraltro
Code:
NOTE: pid, sid and command matching are broken on SMP

quindi su un kernel SMP, rimane solo gid ....
Back to top
View user's profile Send private message
Cadoro
Apprentice
Apprentice


Joined: 09 Feb 2006
Posts: 154
Location: Napoli

PostPosted: Thu Feb 23, 2006 12:11 am    Post subject: Reply with quote

Ragazzi sto provando anche io con il 2.6.14 e purtroppo ho ancora lo stesso problema pure se nel kernel è abilitato in network options il controllo sull'owner..

Ma ad oggi non c'è nessun modo per limitare un'applicazione solo dal nome...................ufff era veramente utile e con il sid ci faccio molto........... :(
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Thu Feb 23, 2006 8:55 am    Post subject: Reply with quote

Si peccato... se qualcuno lo sa mi piacerebbe scoprire il perché di questa decisione...
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
Cadoro
Apprentice
Apprentice


Joined: 09 Feb 2006
Posts: 154
Location: Napoli

PostPosted: Thu Feb 23, 2006 10:22 am    Post subject: Reply with quote

Quote:
Ma non ho ancora provato con il pid del processo funziona?!?!? perchè se è così non è per molto complicato fare uno script che dal nome restituisce il processo.

https://forums.gentoo.org/viewtopic-t-401769.html#2874469
Back to top
View user's profile Send private message
Cadoro
Apprentice
Apprentice


Joined: 09 Feb 2006
Posts: 154
Location: Napoli

PostPosted: Thu Feb 23, 2006 11:22 am    Post subject: Reply with quote

Cadoro wrote:
ma non ci sono metodi alternativi anche non al livello kernel sempre però con un buon rapporto prestazioni


Ma non ho ancora provato con il pid del processo funziona?!?!? perchè se è così non è per molto complicato fare uno script che dal nome restituisce il processo.

E poi una curiosità, il campo dell'owner rimasto nel kernel tutt'ora al .15
Code:

CONFIG_IP_NF_MATCH_OWNER:                                                                                                                                                                   
 Packet owner matching allows you to match locally-generated packets                         
  based on who created them: the user, group,[color=red]process [/color]  or session. 
non servirebbe a niente?!?!?


Ho trovato che serve in netstat con -p ma questo programma non può markare il pacchetto come netfilter...cmq soluzioni penso ci siano con un pò di | :twisted:
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Thu Feb 23, 2006 11:24 am    Post subject: Reply with quote

Oddio scusa ti ho modificato un post... volevo fare "riporta" ma ho premuto modifica... :oops: scusa :oops:
Fa una cosa, rimodificalo e rimettici il tuo messaggio di prima se puoi

questo era quello che volevo postare
Quote:
Ma non ho ancora provato con il pid del processo funziona?!?!? perchè se è così non è per molto complicato fare uno script che dal nome restituisce il processo.

https://forums.gentoo.org/viewtopic-t-401769.html#2874469

P.S. ho visto che ti sei quotato e ti sei risposto dopo nemmeno un minuto...
A parte il fatto che in questo caso hai per fortuna salvato il testo del messaggio sei pregato di non "uppare" prima che siano passate 24 ore :wink:
Lo so che ho appena fatto una cazzata io e quindi sta male farti notare la tua però lo faccio lo stesso per parità di trattamento con tutte le altre volte in cui l'ho fatto :wink:
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
Cadoro
Apprentice
Apprentice


Joined: 09 Feb 2006
Posts: 154
Location: Napoli

PostPosted: Thu Feb 23, 2006 11:40 am    Post subject: Reply with quote

ok non sono molto esperto di forum...........

ma ho notato che non supporta nemmeno --cmd-pid ma che cavolo!!!!!!!!!!!?????????????
Back to top
View user's profile Send private message
Cadoro
Apprentice
Apprentice


Joined: 09 Feb 2006
Posts: 154
Location: Napoli

PostPosted: Thu Feb 23, 2006 2:23 pm    Post subject: Reply with quote

ma con ipchains è possibile filtrare il pacchetto per nome o per pid?!?!?Ma non capisco perchè hanno fatto questa scelta............ :(
Ma per caso netstat è in grado di cambiare i chains del pacchetto?

Cmq Penso che se il filtraggio avviene soltanto per utente o per porta o per qualsiasii formato ip sia stato un grande passo indietro o veramente non saprei definirlo altrimenti.

Certo con un buon utilizzo di netstat il quale magari preleva gli ip di destinazione in base al programma d'interesse e in seguito si filtrano si possono raggiungere gli stessi obbiettivi, ma perchè?!?
Back to top
View user's profile Send private message
Cadoro
Apprentice
Apprentice


Joined: 09 Feb 2006
Posts: 154
Location: Napoli

PostPosted: Thu Feb 23, 2006 3:10 pm    Post subject: Reply with quote

bè forse una buona lettura su questo http://l7-filter.sourceforge.net/HOWTO#Doing
possa risolvere....C'è ancora qualche speranza quindi..quant'è bello il Layer 7, quasi quasi mi rubo un bel switch L7 e ci metto un 286 con gentoo ovviamente
Back to top
View user's profile Send private message
Cazzantonio
Bodhisattva
Bodhisattva


Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world

PostPosted: Thu Feb 23, 2006 3:22 pm    Post subject: Reply with quote

Quote:
Gio Feb 23, 2006 12:40 pm
Gio Feb 23, 2006 3:23 pm
Gio Feb 23, 2006 4:10 pm

@cadoro
queste solo le date dei gli ultimi post che hai fatto uno di fila all'altro...
Se leggi bene il punto 8 delle regole guida vedi che si raccomanda di non "uppare" prima che siano passare 24 ore... se devi aggiungere informazioni puoi editare l'ultimo tuo post invece di trasformare il thread in un blog :wink:
Grazie
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne
Back to top
View user's profile Send private message
Cadoro
Apprentice
Apprentice


Joined: 09 Feb 2006
Posts: 154
Location: Napoli

PostPosted: Fri Feb 24, 2006 4:41 pm    Post subject: Reply with quote

Cadoro wrote:
bè forse una buona lettura su questo http://l7-filter.sourceforge.net/HOWTO#Doing
possa risolvere....C'è ancora qualche speranza quindi..quant'è bello il Layer 7, quasi quasi mi rubo un bel switch L7 e ci metto un 286 con gentoo ovviamente


Ma qualcuno ha provato a installare questa patch su kernel 2.6.14 o superiore?!?!?
Back to top
View user's profile Send private message
Cadoro
Apprentice
Apprentice


Joined: 09 Feb 2006
Posts: 154
Location: Napoli

PostPosted: Sat Feb 25, 2006 10:19 pm    Post subject: Reply with quote

Sto trovando alquanto impossibile patchare con la patch di netfilter. non riesco neanche a compilare + il kernel .14 dandomi errori di variabili su udp_4...assurdo
Provo con il vanilla potrei avere qualche speranza?
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum