| View previous topic :: View next topic |
| Author |
Message |
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
 Posted: Sun Nov 13, 2005 12:39 pm Post subject: [Iptables] Nuovo kernel e comandi non più supportati |
 |
|
Con il nuovo kernel (2.6.14) ricevo questo messaggio in dmesg | Code: | | ipt_owner: pid, sid and command matching not supported anymore |
in pratica il comando | Code: | | -m owner --cmd-owner <nomecomando> |
non è più accettato... 
Si pone la domanda di come fare altrimenti.... come bloccare la via a tutti i processi generati da un particolare comando?
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
 |
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sun Nov 13, 2005 12:46 pm Post subject: Re: [Iptables] Nuovo kernel e comandi non più supportati |
|
|
io quell'opzione ce l'ho ancora... prova a controllare forse l'hai disattivata erroneamente
| Code: | │ CONFIG_IP_NF_MATCH_OWNER:
│
│ Packet owner matching allows you to match locally-generated packets
│ based on who created them: the user, group, process or session. |
|
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Sun Nov 13, 2005 2:16 pm Post subject: |
|
|
veramente ce l'ho ancora... | Code: | ale@heavensdoor ~ $ cat /boot/config-2.6.14-gentoo-r2 |grep CONFIG_IP_NF_MATCH_OWNER
CONFIG_IP_NF_MATCH_OWNER=y |
Eppure ricevo quel messaggio (più ovviamente un errore in console quando lancio lo script)
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Sun Nov 13, 2005 3:03 pm Post subject: |
|
|
il modulo c'è ma non sono più disponibili quei match
| Code: | | ipt_owner: pid, sid and command matching not supported anymore |
restano solo uid e gid
peraltro
| Code: | | NOTE: pid, sid and command matching are broken on SMP |
quindi su un kernel SMP, rimane solo gid .... |
|
| Back to top |
|
|
Cadoro
Apprentice
Joined: 09 Feb 2006
Posts: 154
Location: Napoli
|
| Posted: Thu Feb 23, 2006 12:11 am Post subject: |
|
|
Ragazzi sto provando anche io con il 2.6.14 e purtroppo ho ancora lo stesso problema pure se nel kernel è abilitato in network options il controllo sull'owner..
Ma ad oggi non c'è nessun modo per limitare un'applicazione solo dal nome...................ufff era veramente utile e con il sid ci faccio molto...........  |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Thu Feb 23, 2006 8:55 am Post subject: |
|
|
Si peccato... se qualcuno lo sa mi piacerebbe scoprire il perché di questa decisione...
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Cadoro
Apprentice
Joined: 09 Feb 2006
Posts: 154
Location: Napoli
|
|
| Back to top |
|
|
Cadoro
Apprentice
Joined: 09 Feb 2006
Posts: 154
Location: Napoli
|
| Posted: Thu Feb 23, 2006 11:22 am Post subject: |
|
|
| Cadoro wrote: | ma non ci sono metodi alternativi anche non al livello kernel sempre però con un buon rapporto prestazioni
Ma non ho ancora provato con il pid del processo funziona?!?!? perchè se è così non è per molto complicato fare uno script che dal nome restituisce il processo.
E poi una curiosità, il campo dell'owner rimasto nel kernel tutt'ora al .15 | Code: |
CONFIG_IP_NF_MATCH_OWNER:
Packet owner matching allows you to match locally-generated packets
based on who created them: the user, group,[color=red]process [/color] or session.
|
non servirebbe a niente?!?!? |
Ho trovato che serve in netstat con -p ma questo programma non può markare il pacchetto come netfilter...cmq soluzioni penso ci siano con un pò di |  |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Thu Feb 23, 2006 11:24 am Post subject: |
|
|
Oddio scusa ti ho modificato un post... volevo fare "riporta" ma ho premuto modifica...  scusa
Fa una cosa, rimodificalo e rimettici il tuo messaggio di prima se puoi
questo era quello che volevo postare
| Quote: | | Ma non ho ancora provato con il pid del processo funziona?!?!? perchè se è così non è per molto complicato fare uno script che dal nome restituisce il processo. |
https://forums.gentoo.org/viewtopic-t-401769.html#2874469
P.S. ho visto che ti sei quotato e ti sei risposto dopo nemmeno un minuto...
A parte il fatto che in questo caso hai per fortuna salvato il testo del messaggio sei pregato di non "uppare" prima che siano passate 24 ore 
Lo so che ho appena fatto una cazzata io e quindi sta male farti notare la tua però lo faccio lo stesso per parità di trattamento con tutte le altre volte in cui l'ho fatto
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Cadoro
Apprentice
Joined: 09 Feb 2006
Posts: 154
Location: Napoli
|
| Posted: Thu Feb 23, 2006 11:40 am Post subject: |
|
|
ok non sono molto esperto di forum...........
ma ho notato che non supporta nemmeno --cmd-pid ma che cavolo!!!!!!!!!!!????????????? |
|
| Back to top |
|
|
Cadoro
Apprentice
Joined: 09 Feb 2006
Posts: 154
Location: Napoli
|
| Posted: Thu Feb 23, 2006 2:23 pm Post subject: |
|
|
ma con ipchains è possibile filtrare il pacchetto per nome o per pid?!?!?Ma non capisco perchè hanno fatto questa scelta............
Ma per caso netstat è in grado di cambiare i chains del pacchetto?
Cmq Penso che se il filtraggio avviene soltanto per utente o per porta o per qualsiasii formato ip sia stato un grande passo indietro o veramente non saprei definirlo altrimenti.
Certo con un buon utilizzo di netstat il quale magari preleva gli ip di destinazione in base al programma d'interesse e in seguito si filtrano si possono raggiungere gli stessi obbiettivi, ma perchè?!? |
|
| Back to top |
|
|
Cadoro
Apprentice
Joined: 09 Feb 2006
Posts: 154
Location: Napoli
|
| Posted: Thu Feb 23, 2006 3:10 pm Post subject: |
|
|
bè forse una buona lettura su questo http://l7-filter.sourceforge.net/HOWTO#Doing
possa risolvere....C'è ancora qualche speranza quindi..quant'è bello il Layer 7, quasi quasi mi rubo un bel switch L7 e ci metto un 286 con gentoo ovviamente |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Thu Feb 23, 2006 3:22 pm Post subject: |
|
|
| Quote: | Gio Feb 23, 2006 12:40 pm
Gio Feb 23, 2006 3:23 pm
Gio Feb 23, 2006 4:10 pm |
@cadoro
queste solo le date dei gli ultimi post che hai fatto uno di fila all'altro...
Se leggi bene il punto 8 delle regole guida vedi che si raccomanda di non "uppare" prima che siano passare 24 ore... se devi aggiungere informazioni puoi editare l'ultimo tuo post invece di trasformare il thread in un blog
Grazie
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Cadoro
Apprentice
Joined: 09 Feb 2006
Posts: 154
Location: Napoli
|
| Posted: Fri Feb 24, 2006 4:41 pm Post subject: |
|
|
| Cadoro wrote: | bè forse una buona lettura su questo http://l7-filter.sourceforge.net/HOWTO#Doing
possa risolvere....C'è ancora qualche speranza quindi..quant'è bello il Layer 7, quasi quasi mi rubo un bel switch L7 e ci metto un 286 con gentoo ovviamente |
Ma qualcuno ha provato a installare questa patch su kernel 2.6.14 o superiore?!?!? |
|
| Back to top |
|
|
Cadoro
Apprentice
Joined: 09 Feb 2006
Posts: 154
Location: Napoli
|
| Posted: Sat Feb 25, 2006 10:19 pm Post subject: |
|
|
Sto trovando alquanto impossibile patchare con la patch di netfilter. non riesco neanche a compilare + il kernel .14 dandomi errori di variabili su udp_4...assurdo
Provo con il vanilla potrei avere qualche speranza? |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
