iptables funktionieren nicht

[daymaker]

Hallo alle zusammen.

Ich habe ein riesen Problem...
Habe mir einen VServer mit ordentlich Ram bestellt,
und möchte gern mit iptables arbeiten.

Allerdings wird mir immer die Meldung

FATAL: Could not load /lib/modules/2.6.26-2-openvz-amd64/modules.dep: No such file or directory
iptables v1.4.2: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Das System besiert auf OpenVZ.
Das OS ist Debian 5.0 lenny.
Der eingesetzte Kernel ist 2.6.26-2-openvz-amd64
Hoffentlich kann mir jemand helfen.

MfG
DayMaker

 

[Firewire2002]

Du kannst bei einem OpenVZ/Virtuozzo vServer keine Kernelmodule nachladen.
Entweder hast du Glück und dein Hoster lädt das Modul auf dem Hostsystem, dann funktionieren deine IPTables auch ohne das du das Modul selbst lädst oder du musst deine IPTables entsprechend anpassen um ohne das Modul auszukommen.

 

[daymaker]

IPTables

Nabend und danke für die schnelle antwort.

Nun. Was müsste mein hoster ganz detailiert ändern, damit ich meine iptables benutzen kann. vielleicht kann ich da ein Supporter anfragen.
Wenn die sofort sehen, wie es geht, machen die das bestimmt.

Was muss wo reingeschrieben werden, welche Dateien müssen zusätzlich
auf dem Server untergebracht werden ?

MfG
DayMaker

 

[Firewire2002]

Solang du nicht bei 13jährigen Kiddys im Keller hostest, sollten die Mitarbeiter dort wissen, wie man ein Kernelmodul lädt.

 

[daymaker]

Danke nochmals für die schnelle Antwort.
Ich denke nicht, dass das so kiddys sind


Übrigends wenn ich den Befehl:

iptables -A INPUT -d "$WAN_IP" -m state --state RELATED,ESTABLISHED -j ACCEPT

eingebe, kommt folgende Meldung:

iptables v1.4.2: host/network `' not found
Try `iptables -h' or 'iptables --help' for more information.

Hat das vielleicht doch was mit meinem VServer zu tun ?

 

[Firewire2002]

Wenn du den Befehl von Hand ausführst, solltest du die Variable $WAN_IP entweder vorher setzen oder im Befehl ersetzen.

 

[daymaker]

Ich habe gerade ebend beim Support mal angefragt.
Die haben mir irgend was am Server umgestellt.

Du wirst dich wundern, aber der Befehl:

iptables -A INPUT -d "$WAN_IP" -p tcp --dport 80 -j ACCEPT

funktioniert tatsächlich !

Aber der hier nicht:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Also es scheint so, als ob ein teil der Funktionen nun verfügbar ist.
Der andere Teil jedoch auf glatteis liegt.

Man o man...
Habe ich wieder ein fehler gemacht ?

 

[wstuermer]

Hi,

wenn 1. funktioniert, dann ist $WAN_IP irgendwo definiert

Das 2. nicht funktioniert dürfte daran liegen, dass Deine VE kein stateful Firewallmatching kann. Dies muss auch vom Hostsystem unterstützt werden.


-W

 

[daymaker]

iptables

ok ich habe den Anbieter noch mals kontaktiert.

Ich glaube die sind total vorsichtig, wenn es um einstellungen am
Hostsystem geht.

Nun haben die wieder was umgestellt.
Nun kommt bei dem 2. Befehl:

-# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

die Meldung:

iptables: No chain/target/match by that name

Ich weiß aber wirklich nicht was diese Meldung zu sagen hat

 

[dev]

Ich glaube die sind total vorsichtig, wenn es um einstellungen am
Hostsystem geht.

Ja, das wäre ich auch, wenn Du nicht der einzige Gast mit VEs auf der Maschine bist

 

[daymaker]

Ja, das wäre ich auch, wenn Du nicht der einzige Gast mit VEs auf der Maschine bist

Eben. Wenn die etwas falsches machen, kann der Server ggf. auch nicht mehr betrieben werden

 

[grapevine]

FATAL: Could not load /lib/modules/2.6.26-2-openvz-amd64/modules.dep: No such file or directory

Sieh mal nach, ob das Paket module-init-tools installiert ist und deinstalliere das, das ist in einem Gastsystem nicht erforderlich.

# aptitude show module-init-tools
# aptitude purge module-init-tools

Die anderen Fehlermeldungen beim Einbringen von Regeln resultieren aus fehlenden Kernelmodulen im Wirt, die Dein Hoster nachpflegen sollte.