[IPTABLES] No chain/target/match by that name.
[IPTABLES] No chain/target/match by that name.
Bonjour,
Je suis en train d'essayer de paramétrer mon iptables sur une machine archlinux.
Je suis le tuto qui est ici : https://wiki.archlinux.fr/Iptables dans la rubrique "configuration pour un client simple".
Après les trois premières règles (que je passe à ACCEPT pour ne pas perdre la main direct), je suis bloqué :
# iptables -t filter -P INPUT ACCEPT
# iptables -t filter -P FORWARD ACCEPT
# iptables -t filter -P OUTPUT ACCEPT
# iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.
J'ai bien la librairie conntrack d'installée.
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain f2b-postfix (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain f2b-sshd (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Je connais pas mal iptables mais les versions que j'utilisais travaillaient encore avec state plutot que conntrack.
Est-ce que quelqu'un a une idée ?
Merci
Je suis en train d'essayer de paramétrer mon iptables sur une machine archlinux.
Je suis le tuto qui est ici : https://wiki.archlinux.fr/Iptables dans la rubrique "configuration pour un client simple".
Après les trois premières règles (que je passe à ACCEPT pour ne pas perdre la main direct), je suis bloqué :
# iptables -t filter -P INPUT ACCEPT
# iptables -t filter -P FORWARD ACCEPT
# iptables -t filter -P OUTPUT ACCEPT
# iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables: No chain/target/match by that name.
J'ai bien la librairie conntrack d'installée.
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain f2b-postfix (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain f2b-sshd (0 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Je connais pas mal iptables mais les versions que j'utilisais travaillaient encore avec state plutot que conntrack.
Est-ce que quelqu'un a une idée ?
Merci
- benjarobin
- Maître du Kyudo
- Messages : 17186
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [IPTABLES] No chain/target/match by that name.
Aucun souci, ici avec cette règle. Mais il est fort probable que cela vienne des commandes précédentes.
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [IPTABLES] No chain/target/match by that name.
si je la pose dans le fichier /etc/iptables/iptables.rules, le restart de iptables échoue. Si j'enlève ces lignes avec conntrack, ça passe..
Re: [IPTABLES] No chain/target/match by that name.
Bonjour,
Il vaudrait mieux que tu DROP les tables input et forwad et accept juste la table output.
Voici une configuration simple de iptable:
Cette configuration fonctionne niquel, tu peux essayer de la tester sans crainte
En ésperant que ma réponse puisse t'aider
Il vaudrait mieux que tu DROP les tables input et forwad et accept juste la table output.
Voici une configuration simple de iptable:
Code : Tout sélectionner
#on efface les régles précédante
iptables -F
iptables -X
# réglages de politiques par défauts
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
# autoriser les serveurs DNS
iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# autoriser le ping
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p icmp -j ACCEPT
iptables -A INPUT -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# autoriser la navigation web
iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# autoriser la boucle local
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
En ésperant que ma réponse puisse t'aider
- benjarobin
- Maître du Kyudo
- Messages : 17186
- Inscription : sam. 30 mai 2009, 15:48
- Localisation : Lyon
Re: [IPTABLES] No chain/target/match by that name.
Oui, enfin s'il applique ceci sur un serveur, il ne pourra plus communiquer avec. En locale il n'y a aucun risque, le clavier fonctionne toujours
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Re: [IPTABLES] No chain/target/match by that name.
Bonjour,
@benjarobin: Je suis tout a fait d'accord sur le faite que la configuration que j'ai envoyé ne fonctionnera pas sur un serveur, elle est juste conçue pour un pc avec un utilisation classique. comme il a écrit
En ésperant que mon post t'a aider a mieux comprendre pourquoid je lui ai mis une configuration trés basique.
@benjarobin: Je suis tout a fait d'accord sur le faite que la configuration que j'ai envoyé ne fonctionnera pas sur un serveur, elle est juste conçue pour un pc avec un utilisation classique. comme il a écrit
j'ai supposé que c'etatit destiné a un pc avec une utilisation internet, multimédia, aprés a @ouafnico de nous dire si ma supposition est la bonne ou pas.ouafnico a écrit :Je suis le tuto qui est ici : https://wiki.archlinux.fr/Iptables dans la rubrique "configuration pour un client simple".
En ésperant que mon post t'a aider a mieux comprendre pourquoid je lui ai mis une configuration trés basique.
- widapit
- Maître du Kyudo
- Messages : 1148
- Inscription : mar. 30 mars 2010, 22:53
- Localisation : Toulouse
Re: [IPTABLES] No chain/target/match by that name.
Salut,
Je ne promet rien, j'essaie des pistes... désolé par avance si je me trompe !
Petite parenthèse pour commencer :
Bref; Pour moi ce serait plutôt lié à une faute de frappe par exemple ou un renvoi avec "goto" (option -g) qui ne trouve pas de concordance
Si tu as fait des copier-coller pour ces lignes, essaye en les re-tapant entièrement à la main, un caractère invisible a pu s'insérer .
Sinon le log via
Je ne promet rien, j'essaie des pistes... désolé par avance si je me trompe !
Petite parenthèse pour commencer :
En fait, le changement date de fin 2012 (cf. : l'usage de state est déprécié)ouafnico a écrit :Je connais pas mal iptables mais les versions que j'utilisais travaillaient encore avec state plutot que conntrack.
Bref;
l'erreur semble bien sur ces lignes mais je ne suis pas sur que "conntrack" soit en cause . Est-ce la même erreur que celle citée dans ton message précédent ?ouafnico a écrit :si je la pose dans le fichier /etc/iptables/iptables.rules, le restart de iptables échoue. Si j'enlève ces lignes avec conntrack, ça passe..
Code : Tout sélectionner
iptables: No chain/target/match by that name.
Si tu as fait des copier-coller pour ces lignes, essaye en les re-tapant entièrement à la main, un caractère invisible a pu s'insérer .
Sinon le log via
journalctl
donnera peut-être plus de détails sur l'erreur rencontrée ...routeur(OpenWRT); serveurs(Debian, Arch); cléUSB(Black-Arch);
mon ordi(Arch-hardened) = {spectrwm, zsh} || je m'amuse aussi avec des Arduino !
mon ordi(Arch-hardened) = {spectrwm, zsh} || je m'amuse aussi avec des Arduino !
Re: [IPTABLES] No chain/target/match by that name.
Bonjour
Merci pour vos réponses.
En fait j'avais essayé plusieurs règles simples, dont celles que vous proposez. J'ai des erreurs uniquement lorsque j'utilise conntrack.
J'avais aussi essayé de tout taper à la main.
Le pcduino me sert en serveur, mais quand j'ai testé je le faisais en frontal sinon ça coupe sec :p
Je pense vraiment qu'il s'agit du module.
J'avais posté sur le forum anglais aussi : https://bbs.archlinux.org/viewtopic.php?id=189186
J'ai pris contact avec l'equipe pcduino pour qu'ils ajoutent les modules manquants (il en manque aussi pour d'autres sujets, comme dm_mod).
J'avais déja recompile moi même un noyau pcduino qui avait fonctionné. Mais en ajoutant ces modules manquants il boote même pas :p
A voir :-/
Merci pour vos réponses.
En fait j'avais essayé plusieurs règles simples, dont celles que vous proposez. J'ai des erreurs uniquement lorsque j'utilise conntrack.
J'avais aussi essayé de tout taper à la main.
Le pcduino me sert en serveur, mais quand j'ai testé je le faisais en frontal sinon ça coupe sec :p
Je pense vraiment qu'il s'agit du module.
J'avais posté sur le forum anglais aussi : https://bbs.archlinux.org/viewtopic.php?id=189186
J'ai pris contact avec l'equipe pcduino pour qu'ils ajoutent les modules manquants (il en manque aussi pour d'autres sujets, comme dm_mod).
J'avais déja recompile moi même un noyau pcduino qui avait fonctionné. Mais en ajoutant ces modules manquants il boote même pas :p
A voir :-/
Re: [IPTABLES] No chain/target/match by that name.
Bonjour a tous,
@ouafnico: tu aurais pu nous dire avant que c'etait pour un mini pc et non pas sur un pc Tour ou portable, car sa change tout.
J'ai été voir le lien que tu nous adonné dans ton précedent post: et la répone des linuxiens qui ton répondu est assez explicite il n'y a pas le conntrack d'activé dans le kernel d'origine.
tu n'a qu'une solution c'est de le rajouter dans le kernel, a tu vu la page http://www.pcduino.com/how-to-build-kernel-for-pcduino/, il explique comment le faire avec ton minipc.
Sinon tu a un forum dédié au machine ARM sous archlinux avec une section sur le pcduino http://archlinuxarm.org/, il pourront peut être plus t'aider que nous, car tu est sur un forum plus PC/serveur
Désolé de ne pas pouvoir plus t'aider
@ouafnico: tu aurais pu nous dire avant que c'etait pour un mini pc et non pas sur un pc Tour ou portable, car sa change tout.
J'ai été voir le lien que tu nous adonné dans ton précedent post: et la répone des linuxiens qui ton répondu est assez explicite il n'y a pas le conntrack d'activé dans le kernel d'origine.
tu n'a qu'une solution c'est de le rajouter dans le kernel, a tu vu la page http://www.pcduino.com/how-to-build-kernel-for-pcduino/, il explique comment le faire avec ton minipc.
Sinon tu a un forum dédié au machine ARM sous archlinux avec une section sur le pcduino http://archlinuxarm.org/, il pourront peut être plus t'aider que nous, car tu est sur un forum plus PC/serveur
Désolé de ne pas pouvoir plus t'aider
Dernière modification par nico88 le jeu. 20 nov. 2014, 15:19, modifié 2 fois.
Re: [IPTABLES] No chain/target/match by that name.
oui en effet j'aurais pu, je pensais l'avoir fait.
J'ai déjà tenté de recompiler le noyau, le premier que j'utilisais je l'avais fait comme ça (ils ne distribuent pas archlinux). Quand je l'ai refait pour l'activer il ne fonctionne pas.
Je vais regarder sur le forum que tu as donné.
Merci;)
J'ai déjà tenté de recompiler le noyau, le premier que j'utilisais je l'avais fait comme ça (ils ne distribuent pas archlinux). Quand je l'ai refait pour l'activer il ne fonctionne pas.
Je vais regarder sur le forum que tu as donné.
Merci;)