Bonjour à tous,  
 
j'ai rencontré plusieurs problèmes lors de mon passage à iptables "nouvelle version" (kernel >= 2.6.16) et si j'ai en partie résolu mes problèmes, je serai curieux de savoir si vous avez rencontré les mêmes que moi...
 
1 / conflit entre les modules de mes cartes réseaux (sk98lin et forcedeth) et le module '"realm" match support'
 
ce module se trouve dans :
Networking
Networking options
Network packet filtering (replaces ipchains)
Core Netfilter Configuration
"realm" match support
 
quand je compile ce truc en module, sans même le charger, les modules sk98lin et forcedeth (qui marche parfaitement bien par ailleurs) ne veulent plus se charger :
#modprobe sk98lin
sk98lin: disagrees about version of symbol per_cpu__softnet_data
sk98lin: Unknown symbol per_cpu__softnet_data
sk98lin: disagrees about version of symbol __netif_schedule
sk98lin: Unknown symbol __netif_schedule
sk98lin: disagrees about version of symbol unregister_netdev
sk98lin: Unknown symbol unregister_netdev
[...]
FATAL : Error inserting sk98lin (/lib/modules/2.6.18.1/kernel/drivers/net/sk98lin/sk98lin.ko) : Unknown symbol in module, or unknown parameter (see dmesg)
 
au passage, on voit que rajouter le '"realm" match support' dans la liste des modules et faire un make modules modules_install entraine la compilation de bien plus qu'un module... mais de la à provoquer des erreurs, est-ce un bug du noyau ? Vous avez le même comportement ?
 
Ceci dit, je dois avouer que maintenant que j'ai isolé le coupable, je vis très bien sans... c'est plus pour l'histoire
 
2 / deuxième problème, pas résolu celui-ci.
 
j'ai un autre conflit, cette fois je suppose entre "Connection tracking (required for masq/NAT)" et "Full NAT"  
tous les deux dans :
Networking
Networking options
Network packet filtering (replaces ipchains)
IP: Netfilter Configuration
 
"Connection tracking (required for masq/NAT)" est en y
 
Quand je ne mets pas "Full NAT" en module, mon iptables refuse de faire du nat :  
iptables-restore v1.3.6: iptables-restore: unable to initializetable 'nat'
et les modules ip_nat et iptable_nat n'existent pas.  
Jusqu'ici, rien d'anormal.
 
Quand je ne mets "Full NAT" en module, mon iptables refuse toujours de faire du nat, car il arrive pas à charger les modules :
#modprobe ip_nat
ip_tables: (C) 2000-2006 Netfilter Core Team
ip_nat: disagrees about version of symbol ip_conntrack_untracked
ip_nat: Unknown symbol ip_conntrack_untracked
ip_nat: Unknown symbol ip_conntrack_tcp_update
ip_nat: disagrees about version of symbol ip_conntrack_destroyed
ip_nat: Unknown symbol ip_conntrack_destroyed
ip_nat: disagrees about version of symbol ip_conntrack_tuple_taken
ip_nat: Unknown symbol ip_conntrack_tuple_taken
ip_nat: disagrees about version of symbol ip_ct_get_tuple
ip_nat: Unknown symbol ip_ct_get_tuple
[...]
FATAL : blablabla
 
La partie filter de mon iptables fonctionne elle comme un charme.  
 
Avez vous rencontré des problèmes avec NAT ?  
Merci par avance pour vos idées / commentaires !
 
systeme :
Debian SID
noyau compilé à la main, 2.6.18.1
 
voilà ci dessous un bout de mon .config
 
# Core Netfilter Configuration
#
# CONFIG_NETFILTER_NETLINK is not set
CONFIG_NETFILTER_XTABLES=m
CONFIG_NETFILTER_XT_TARGET_CLASSIFY=m
CONFIG_NETFILTER_XT_TARGET_MARK=m
CONFIG_NETFILTER_XT_TARGET_NFQUEUE=m
CONFIG_NETFILTER_XT_TARGET_NOTRACK=m
CONFIG_NETFILTER_XT_MATCH_COMMENT=m
# CONFIG_NETFILTER_XT_MATCH_CONNTRACK is not set
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_NETFILTER_XT_MATCH_ESP=m
CONFIG_NETFILTER_XT_MATCH_HELPER=m
CONFIG_NETFILTER_XT_MATCH_LENGTH=m
CONFIG_NETFILTER_XT_MATCH_LIMIT=m
CONFIG_NETFILTER_XT_MATCH_MAC=m
CONFIG_NETFILTER_XT_MATCH_MARK=m
CONFIG_NETFILTER_XT_MATCH_POLICY=m
CONFIG_NETFILTER_XT_MATCH_MULTIPORT=m
CONFIG_NETFILTER_XT_MATCH_PKTTYPE=m
CONFIG_NETFILTER_XT_MATCH_QUOTA=m
# CONFIG_NETFILTER_XT_MATCH_REALM is not set
CONFIG_NETFILTER_XT_MATCH_SCTP=m
CONFIG_NETFILTER_XT_MATCH_STATE=m
CONFIG_NETFILTER_XT_MATCH_STATISTIC=m
CONFIG_NETFILTER_XT_MATCH_STRING=m
CONFIG_NETFILTER_XT_MATCH_TCPMSS=m
 
#
# IP: Netfilter Configuration
#
CONFIG_IP_NF_CONNTRACK=y
# CONFIG_IP_NF_CT_ACCT is not set
# CONFIG_IP_NF_CONNTRACK_MARK is not set
# CONFIG_IP_NF_CONNTRACK_EVENTS is not set
# CONFIG_IP_NF_CT_PROTO_SCTP is not set
# CONFIG_IP_NF_FTP is not set
# CONFIG_IP_NF_IRC is not set
# CONFIG_IP_NF_NETBIOS_NS is not set
# CONFIG_IP_NF_TFTP is not set
# CONFIG_IP_NF_AMANDA is not set
# CONFIG_IP_NF_PPTP is not set
# CONFIG_IP_NF_H323 is not set
# CONFIG_IP_NF_SIP is not set
# CONFIG_IP_NF_QUEUE is not set
CONFIG_IP_NF_IPTABLES=m
CONFIG_IP_NF_MATCH_IPRANGE=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_RECENT=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_OWNER=m
CONFIG_IP_NF_MATCH_ADDRTYPE=m
CONFIG_IP_NF_MATCH_HASHLIMIT=m
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
# CONFIG_IP_NF_NAT is not set
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_TTL=m
CONFIG_IP_NF_RAW=m
# CONFIG_IP_NF_ARPTABLES is not set

un petit up !
 
Personne n'utilise iptables avec NAT sur un noyau 2.6.18 ?

En te lisant, je ne peux m'empêcher de penser que tu as une carte mère du style ASUS A8N xxx. C'est ça ?
 
Pour le 1/, saches que le module sk98lin risque de ne plus être mis à jour à l'avenir (c'est ptet même déjà le cas ...), et que son successeur pour gérer les chipsets réseau Marvell Yukon, s'appelle skge. Il dispose pas encore de toutes les fonctionnalités "avancées" de son prédécesseur, mais il est plus propre et il te posera pas le genre de pb que tu rencontres avec sk98lin (et même si c'est le cas, ces pb ont des chances d'être corrigés, ce qui est bcp moins sur avec sk98lin)
 
Pour le 2/, tu peux préciser un peu plus en détails comment tu t'y es pris pour compiler ton noyau ainsi que les modules qui te posent pb, stp ?
 
Tu peux copier le résultat des commandes suivantes, stp ? :
 
modinfo ip_nat | grep ver
 
modinfo ip_conntrack | grep ver
 
modinfo nfnetlink | grep ver
 
modinfo sk98lin | grep ver
 
uname -a

yep, la carte mère est une ASUS A8N-SLI
 
pour le 1/ j'avais essayé skge, avec exactement le même comportement que sk98lin. En effet, j'avais lu que sk98lin n'était plus maintenu. J'utiliserai skge à l'avenir...
 
pour le 2/
Pour la compilation, rien que de très standard...
téléchargement du kernel sur www.kernel.org
détarage, make menuconfig, puis make, make modules modules_install, avec de temps en temps un make clean quand nécessaire.  
 
Pour tes commandes :  
#uname -a
Linux mithrandir 2.6.18.1 #1 SMP PREEMPT Mon Oct 30 20:58:56 CET 2006 i686 GNU/Linux
 
#modinfo sk98lin
vermagic:       2.6.18.1 SMP preempt mod_unload K8 gcc-4.1
srcversion:     38E28A19CC7C1BCEC6B1D01
 
ip_conntrack est pas en module, mais compilé dans le noyau (en y) : comment je peux faire pour avoir la version ?
 
pour les 2 autres, je recompile les modules et te dis cela...

pour les deux autres :
# modinfo ip_nat
vermagic:       2.6.18.1 SMP preempt mod_unload K8 gcc-4.1
srcversion:     F1729394DC4ED43B13B2562
 
# modinfo nfnetlink
vermagic:       2.6.18.1 SMP preempt mod_unload K8 gcc-4.1
srcversion:     534CCF99A5723062787C661