slacky.eu

buonasera non capisco come mai in tutto il mio script di iptables mi dia il problema la seguente stringa:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/m -j ACCEPT

comunque vi allego il mio script completo:

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A FORWARD -o eth0 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 22 -i eth0 -j DNAT --to 192.168.2.240
iptables -A INPUT -s 0.0.0.0/0.0.0.0 -p tcp --dport 22 -j LOG
iptables -A INPUT -s 0.0.0.0/0.0.0.0 -p tcp --dport 80 -j LOG
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -i eht0 -j DROP
iptables -A INPUT -s 127.0.0.1 -i eth0 -j DROP
iptables -A FORWARD -s 127.0.0.1 -i eth0 -j DROP
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/m -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -i eth0 -p tcp --syn -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

vi chiedo se sapete se sbagli in qualcosa io con i passaggi oppure vanno in conflitto qualche regola!

a me mi da iptables: invalid argument quando cerco di farlo avviare, ma se cancello quella stringa lo script va alla grande!

vi ringrazio in anticipo!

LordFire ha scritto:buonasera non capisco come mai in tutto il mio script di iptables mi dia il problema la seguente stringa:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/m -j ACCEPT

a me mi da iptables: invalid argument quando cerco di farlo avviare, ma se cancello quella stringa lo script va alla grande!

man iptables, nella sezione del modulo limit, dice chiaramente che la sintassi e' sbagliata

mi dispiace ho provato anche a fare 2/s invece di 2/m ma purtroppo mi da lo stesso ed identico errore!

A me funziona sia abbreviando /s e /m che non (ho copiato e incollato la tua direttiva)...
Hai compilato (come modulo o staticamente) il supporto a "limit match" nel kernel (se come modulo assicurati che sia caricato)?
A me capitò una cosa simile con -m state...

ok ora come posso ci do un occhiata! ti faccio sapere..

io ho copiato pari pari quello che hai scritto e non mi ha dato errori di sorta, che kernel hai?
L'hai compilato tu?

ho il 2.4.27 no è di debian! non l'ho compilato io! per questo devo dargli un occhiata di persona!

Sei sicuro che il 2.4 implementi questa feature? Potrebbe essere stata ggiunta al 2.6...

LordFire ha scritto:mi dispiace ho provato anche a fare 2/s invece di 2/m ma purtroppo mi da lo stesso ed identico errore!

ripeto: man iptables nella sezione del modulo limit dice chiaramente che la sintassi che hai usato e' sbagliata:

--limit rate
Maximum average matching rate: specified as a number, with an optional `/second', `/minute', `/hour', or
`/day' suffix; the default is 3/hour.

Credo sia un problema di kernel.
Infatti ho provato con: ottenendo: Evidentemente si può abbreviare la sintassi indicata da man iptables...