Bonjour à tous,
 
voilà je vous explique mon problème: j'ai besoin d'utiliser la target ROUTE d'iptables pour un problème de routage lié à un vpn ssl (openvpn) sur un linux en mode bridge. J'utilise iptables 1.3.7 et le kernel 2.6.21.5. J'ai bien patché avec patch-o-matic et voici ce que ca me donne:
 

 
Sur ce coup là, je l'ai repassé en module dans le kernel mais j'avais testé en l'incluant dans le kernel et c'était pas mieux...
 
Je vois pas trop comment je peux débugguer ca    
 
Si vous avez des pistes!
 
p1c0.
 
EDIT: y a ca aussi:
 

 
ca veut bien dire que la target est compilée...

Si j'ai bien compris, tu veux juste router différemment le trafic à destination d'une adresse précise ?
Tu n'as pas moyen de gérer ca avec iproute ? Ca me parait moins barbare que de le faire via netfilter

route add -host 10.8.0.6 dev tun0

Bon, y a un truc qui m'intrigue là. Je me suis repenché sur l'alternative iptables MARK + iproute2.
 
Quand je fais:
 

 
j'ai bien mes logs dans le /var/log/message.
 
Maintenant, je fais:

 
et ca marche pas. Comment ca se fait ? Si mes paquets sont logués, ils devraient bien être marqués aussi, donc passer par la table 200 et envoyés via tun0. Mais visiblement ca marche pas...    

Bon allez, pti up du début de semaine... avec un peu de chance, y aura des vacanciers de retour qui vont me trouver la solution  

ah tiens, je viens de découvrir un truc interessant là:
 

 
y a pas ROUTE dedans...    
vous savez comment il est généré ce fichier? J'ai essayé mais sans grande conviction un echo "ROUTE" >> /proc/net_ip_tables_targets mais bien sur ca n'a pas marché!

C'est les modules de netfilter une fois loadés qui s'enregistrent la dedans.
Vérifie via lsmod qu'il est bien chargé

 
rah, ca me fait toujours drole ce nouveau pseudo!    
 
il apparait bien dans le lsmod...

tu as croisé tomate récemment ?

ou xatrix ?

 
non mais il m'a posé une question sur BLABLA@OSA, c'est peut etre ca  

 
non  

 
bon et sinon, vous n'avez pas une petite idée ?  

je préfère pf à iptables donc non

T'as regardé du coté des mailings list. Car si le module ne se charge pas correctement, enfin s'il ne s'inscrit pas tu as peut etre chopé une version buggé.

 
j'ai envoyé un mail ce matin. Bon ben je vous tiendrais au courant quand j'aurais trouvé, si je trouve...  

Ludovic ?

 
   
 
c'est bien ca, j'avais pas encore l'info pour le /proc/net/ip_tables_target donc je l'ai pas mis dedans. C'est con, moi j'ai pas recu le mail donc je peux pas me répondre pour donner l'info  

En fait il y a deux choses à voir avec iptables et netfilter.
- iptables : qui sert juste à configurer netfilter. Lorsque tu fais un iptables    -j ROUTE --help c'est iptables qui répond. Lui est bien configuré. Pareil quand tu fais une erreur de synthaxe. C'est iptables qui vérifie et qui répond.
 
- netfilter et tout son framework : et là c'est lui qui fait chier. Le module est chargé mais il n'est pas enregistré dans le framework. Et l'erreur que tu as (quand la synthaxe est bonne) c'est iptables qui demande à netfilter de mettre ton truc dans la chaine ROUTE. Et netfilter (si on veut) lui répond qu'il ne connait pas.

Tu peux en envoyer un autre... c'est une bonne piste il me semble et c'est réellement la non présence de ROUTE dans ce fichier qui cause le probleme (du moins c'est le symptome). Tu prends ton mail et tu fais reply-all. Ca te rajoutera toi et la liste de diffusion dans la liste des destinataires.

tu t'es inscrit dessus netfilter-users ?

 
oui oui, je me suis inscrit pour envoyer le mail mais je l'ai pas recu  
donc je peux pas faire un reply-all  
 
edit: tu l'as encore le mail ? sinon tu aurais peut être pu faire un pti reply et me demander ce que j'ai dans mon /proc/net/ip_tables_target  

Ben tu as toujours le message que tu as envoyé ?
edit: oui je peux faire ca aussi, je répond a la liste et je te mets en Cc

 
merci  

C'est bon.

Yann ?
 
merci beaucoup!

C'est ca, enchanté
Tiens marrant. Je t'ai mis en Cc, j'ai recu le mail via la mailing list (normal) et dans celui la tu n'y es plus...

 
De même! T'as pas de la famille dans l'aube ? ou alors tu as un nom de famille répandu    
 
J'ai bien recu le mail et j'ai répondu en tous cas, encore merci!    

Je dois avoir une vague famille du coté de reims. Sinon oui, c'est super répandu.

Tu as essayé de retirer le module ipt_ROUTE  

et voir le contenu de ton /proc/net/ip_tables_target, voir si le ERROR se barre ?

je viens d'essayer et le ERROR est toujours présent...

je me permet de m incruster mais Reims c est dans la marne pas dans l'aube

 
c'est vrai, mais je vis à reims la semaine et dans l'aube le week end pour le moment!  
 
EDIT: et c'est quand que tu me donnes une réponse à mon vrai problème??  

 
euh sinon pour approfondir le truc, tu trouves ce genre d'infos où ? sur le site de netfilter ?

Heu aucune idée. Il y a 3 ans je m'étais intéressé à netfilter/iptables. Je m'étais bien amusé avec. J'avais lu les docs sur le site de netfilter et pas mal de truc à gauche/droite.

Mais principalement la : http://www.netfilter.org/documentation/
Après c'est les sources

 
si je pouvais ca serait avec un grand plaisir mais la ce depasse mes connaissances désolé  

T'as regardé au moment de l'installation du ipt_ROUTE si des logs relatifs au kernel étaient générés ?

je viens de tilter un truc là, quand j'ai compilé mon module ROUTE dans le kernel, j'ai modifié le source parce que ca compilait pas...
 

 
En cherchant un peu, j'avais vu que les noms des fonctions avaient changé: ipt_ devenait xt_. J'ai corrigé ca et ca a compilé. Peut etre que le problème pourrait venir de là aussi...

et c'est maintenant que tu le dis ?

 
y a rien  
 
edit: je viens de vérifier les autres modules et y a pas de ipt_register mais bien xt_register. Ca doit pas venir de là alors...

T'as modifié comment ?
Tu peux mettre un diff ici ?