[IPTABLES] No chain/target/match by that name.

Applications, problèmes de configuration réseau
Répondre
ouafnico
Hankyu
Messages : 17
Inscription : lun. 20 oct. 2014, 18:42

[IPTABLES] No chain/target/match by that name.

Message par ouafnico »

Bonjour,

Je suis en train d'essayer de paramétrer mon iptables sur une machine archlinux.
Je suis le tuto qui est ici : https://wiki.archlinux.fr/Iptables dans la rubrique "configuration pour un client simple".

Après les trois premières règles (que je passe à ACCEPT pour ne pas perdre la main direct), je suis bloqué :

# iptables -t filter -P INPUT ACCEPT
# iptables -t filter -P FORWARD ACCEPT
# iptables -t filter -P OUTPUT ACCEPT
# iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.

J'ai bien la librairie conntrack d'installée.

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-postfix (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain f2b-sshd (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere


Je connais pas mal iptables mais les versions que j'utilisais travaillaient encore avec state plutot que conntrack.

Est-ce que quelqu'un a une idée ?

Merci
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [IPTABLES] No chain/target/match by that name.

Message par benjarobin »

Aucun souci, ici avec cette règle. Mais il est fort probable que cela vienne des commandes précédentes.
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
ouafnico
Hankyu
Messages : 17
Inscription : lun. 20 oct. 2014, 18:42

Re: [IPTABLES] No chain/target/match by that name.

Message par ouafnico »

si je la pose dans le fichier /etc/iptables/iptables.rules, le restart de iptables échoue. Si j'enlève ces lignes avec conntrack, ça passe..
nico88
archer
Messages : 117
Inscription : mar. 17 juil. 2012, 16:41
Localisation : 88 (Vosges)

Re: [IPTABLES] No chain/target/match by that name.

Message par nico88 »

Bonjour,

Il vaudrait mieux que tu DROP les tables input et forwad et accept juste la table output.

Voici une configuration simple de iptable:

Code : Tout sélectionner

#on efface les régles précédante
iptables -F
iptables -X
# réglages de politiques par défauts
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
# autoriser les serveurs DNS
iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT 
iptables -t filter -A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# autoriser le ping
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p icmp -j ACCEPT
iptables -A INPUT -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# autoriser la navigation web
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT  
iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# autoriser la boucle local
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
Cette configuration fonctionne niquel, tu peux essayer de la tester sans crainte :)

En ésperant que ma réponse puisse t'aider
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17186
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [IPTABLES] No chain/target/match by that name.

Message par benjarobin »

Oui, enfin s'il applique ceci sur un serveur, il ne pourra plus communiquer avec. En locale il n'y a aucun risque, le clavier fonctionne toujours :-)
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
nico88
archer
Messages : 117
Inscription : mar. 17 juil. 2012, 16:41
Localisation : 88 (Vosges)

Re: [IPTABLES] No chain/target/match by that name.

Message par nico88 »

Bonjour,

@benjarobin: Je suis tout a fait d'accord sur le faite que la configuration que j'ai envoyé ne fonctionnera pas sur un serveur, elle est juste conçue pour un pc avec un utilisation classique. comme il a écrit
ouafnico a écrit :Je suis le tuto qui est ici : https://wiki.archlinux.fr/Iptables dans la rubrique "configuration pour un client simple".
j'ai supposé que c'etatit destiné a un pc avec une utilisation internet, multimédia, aprés a @ouafnico de nous dire si ma supposition est la bonne ou pas.

En ésperant que mon post t'a aider a mieux comprendre pourquoid je lui ai mis une configuration trés basique.
Avatar de l’utilisateur
widapit
Maître du Kyudo
Messages : 1148
Inscription : mar. 30 mars 2010, 22:53
Localisation : Toulouse

Re: [IPTABLES] No chain/target/match by that name.

Message par widapit »

Salut,

Je ne promet rien, j'essaie des pistes... désolé par avance si je me trompe ! :chinois:

Petite parenthèse pour commencer :
ouafnico a écrit :Je connais pas mal iptables mais les versions que j'utilisais travaillaient encore avec state plutot que conntrack.
En fait, le changement date de fin 2012 (cf. : l'usage de state est déprécié)

Bref;
ouafnico a écrit :si je la pose dans le fichier /etc/iptables/iptables.rules, le restart de iptables échoue. Si j'enlève ces lignes avec conntrack, ça passe..
l'erreur semble bien sur ces lignes mais je ne suis pas sur que "conntrack" soit en cause . Est-ce la même erreur que celle citée dans ton message précédent ?

Code : Tout sélectionner

iptables: No chain/target/match by that name.
Pour moi ce serait plutôt lié à une faute de frappe par exemple ou un renvoi avec "goto" (option -g) qui ne trouve pas de concordance :?
Si tu as fait des copier-coller pour ces lignes, essaye en les re-tapant entièrement à la main, un caractère invisible a pu s'insérer .
Sinon le log via journalctl donnera peut-être plus de détails sur l'erreur rencontrée ...
routeur(OpenWRT); serveurs(Debian, Arch); cléUSB(Black-Arch);
mon ordi(Arch-hardened) = {spectrwm, zsh} || je m'amuse aussi avec des Arduino !
ouafnico
Hankyu
Messages : 17
Inscription : lun. 20 oct. 2014, 18:42

Re: [IPTABLES] No chain/target/match by that name.

Message par ouafnico »

Bonjour

Merci pour vos réponses.
En fait j'avais essayé plusieurs règles simples, dont celles que vous proposez. J'ai des erreurs uniquement lorsque j'utilise conntrack.
J'avais aussi essayé de tout taper à la main.

Le pcduino me sert en serveur, mais quand j'ai testé je le faisais en frontal sinon ça coupe sec :p

Je pense vraiment qu'il s'agit du module.
J'avais posté sur le forum anglais aussi : https://bbs.archlinux.org/viewtopic.php?id=189186

J'ai pris contact avec l'equipe pcduino pour qu'ils ajoutent les modules manquants (il en manque aussi pour d'autres sujets, comme dm_mod).

J'avais déja recompile moi même un noyau pcduino qui avait fonctionné. Mais en ajoutant ces modules manquants il boote même pas :p

A voir :-/
nico88
archer
Messages : 117
Inscription : mar. 17 juil. 2012, 16:41
Localisation : 88 (Vosges)

Re: [IPTABLES] No chain/target/match by that name.

Message par nico88 »

Bonjour a tous,

@ouafnico: tu aurais pu nous dire avant que c'etait pour un mini pc et non pas sur un pc Tour ou portable, car sa change tout.
J'ai été voir le lien que tu nous adonné dans ton précedent post: et la répone des linuxiens qui ton répondu est assez explicite il n'y a pas le conntrack d'activé dans le kernel d'origine.
tu n'a qu'une solution c'est de le rajouter dans le kernel, a tu vu la page http://www.pcduino.com/how-to-build-kernel-for-pcduino/, il explique comment le faire avec ton minipc.
Sinon tu a un forum dédié au machine ARM sous archlinux avec une section sur le pcduino http://archlinuxarm.org/, il pourront peut être plus t'aider que nous, car tu est sur un forum plus PC/serveur

Désolé de ne pas pouvoir plus t'aider :oops:
Dernière modification par nico88 le jeu. 20 nov. 2014, 15:19, modifié 2 fois.
ouafnico
Hankyu
Messages : 17
Inscription : lun. 20 oct. 2014, 18:42

Re: [IPTABLES] No chain/target/match by that name.

Message par ouafnico »

oui en effet j'aurais pu, je pensais l'avoir fait.
J'ai déjà tenté de recompiler le noyau, le premier que j'utilisais je l'avais fait comme ça (ils ne distribuent pas archlinux). Quand je l'ai refait pour l'activer il ne fonctionne pas.

Je vais regarder sur le forum que tu as donné.

Merci;)
Répondre