[Fli4l_dev] Firewall-Regel "REJECT LOG:prefix" wird abgelehnt
Christoph Schulz
fli4l at kristov.de
Di Mai 6 09:30:55 CEST 2014
Hallo!
Hans Bachner schrieb:
> [...]
> Ich habe jetzt versucht, die alte OPT_DMZ Implementierung über
> USR_CHAINs nachzubauen. Dabei ist mir aufgefallen, dass eine Regel
> PF_USR_CHAIN_2_RULE_13='REJECT NOLOG'
> tadellos funktioniert, dagegen wird
> PF_USR_CHAIN_1_RULE_3='REJECT LOG:dmz-input'
> mit folgender Fehlermeldung abgelehnt:
>
> ERR: Error executing iptables -t filter -A usr-dmz-inp -s 0.0.0.0/0 -d
> 0.0.0.0/0 -m comment --comment PF_USR_CHAIN_1_RULE_3: reject/log other
> access from DMZ -j
> ERR: iptables v1.4.21: unknown option "-j"
> ERR: Try `iptables -h' or 'iptables --help' for more information.
Da hast du aber einen alten Bug ausgegraben... Meiner Analyse zufolge ist
dieser Fehler mit r13177 in 2007 eingebaut worden, weil eine Interaktion mit
einer Änderung durch r7617 in 2005 nicht ausreichend berücksichtigt wurde.
Machst du für den Bug bitte ein Ticket auf? Dann ist das im nächsten Tarball
korrigiert.
Zur Info: Der folgende Patch korrigiert das Problem:
Index: base/opt/etc/rc.d/fwrules-helper
===================================================================
--- base/opt/etc/rc.d/fwrules-helper (revision 30827)
+++ base/opt/etc/rc.d/fwrules-helper (working copy)
@@ -513,11 +513,13 @@
DROP)
case x$log_prefix in
x) action_opt="$drop";;
+ *) action_opt="$action";;
esac
;;
REJECT)
case x$log_prefix in
x) action_opt="$reject";;
+ *) action_opt="$action";;
esac
;;
MARK:*)
Vielen Dank im Voraus für das Ticket und viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4l_dev