Debian-facile

veni

Membre

Inscription : 06-06-2021

[Résolu] Probleme d'installation de Xtables pour iptables geoip

Bonjour,

J'ai un soucis depuis ma mise à jour du kernel en 5.10.0-17-amd64 .

J'utilise (encore) iptables avec geoip et xtables mais depuis la mise a jour je n'arrive plus à installer xtables correctement et je sèches... Il propose des commandes mais sans retour de quelqu'un je préfère pas les lancer de suite sans trop savoir se que elles vont faire au risque de casser le système.


Je suis en Debian 11.4

apt install xtables-addons-dkms
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Lecture des informations d'état... Fait
xtables-addons-dkms est déjà la version la plus récente (3.13-1).
Les paquets suivants ont été installés automatiquement et ne sont plus nécessaires :
  linux-image-5.10.0-11-amd64 linux-image-5.10.0-12-amd64 linux-image-5.10.0-13-amd64 linux-image-5.10.0-14-amd64 linux-image-5.10.0-15-amd64
Veuillez utiliser « apt autoremove » pour les supprimer.
0 mis à jour, 0 nouvellement installés, 0 à enlever et 1 non mis à jour.
1 partiellement installés ou enlevés.
Après cette opération, 0 o d'espace disque supplémentaires seront utilisés.
Souhaitez-vous continuer ? [O/n] o
Paramétrage de xtables-addons-dkms (3.13-1) ...
Removing old xtables-addons-3.13 DKMS files...

------------------------------
Deleting module version: 3.13
completely from the DKMS tree.
------------------------------
Done.
Loading new xtables-addons-3.13 DKMS files...
Building for 5.10.0-17-amd64
Building initial module for 5.10.0-17-amd64
Error!  Build of xt_ACCOUNT.ko failed for: 5.10.0-17-amd64 (x86_64)
Make sure the name of the generated module is correct and at the root of the
build directory, or consult make.log in the build directory
/var/lib/dkms/xtables-addons/3.13/build/ for more information.
dpkg: erreur de traitement du paquet xtables-addons-dkms (--configure) :
 installed xtables-addons-dkms package post-installation script subprocess returned error exit status 7
Des erreurs ont été rencontrées pendant l'exécution :
 xtables-addons-dkms
E: Sub-process /usr/bin/dpkg returned an error code (1)
root@ariel:/usr/src#



[s]Le make.log :[/s]

DKMS make.log for xtables-addons-3.13 for kernel 5.10.0-17-amd64 (x86_64)
ven. 02 sept. 2022 14:43:32 CEST
make : on entre dans le répertoire « /usr/src/linux-headers-5.10.0-17-amd64 »
make -C /usr/src/linux-headers-5.10.0-17-amd64 -f /usr/src/linux-headers-5.10.0-17-common/Makefile modules
test -e include/generated/autoconf.h -a -e include/config/auto.conf || (                \
echo >&2;                                                       \
echo >&2 "  ERROR: Kernel configuration is invalid.";           \
echo >&2 "         include/generated/autoconf.h or include/config/auto.conf are missing.";\
echo >&2 "         Run 'make oldconfig && make prepare' on kernel src to fix it.";      \
echo >&2 ;                                                      \
/bin/false)
make -f /usr/src/linux-headers-5.10.0-17-common/scripts/Makefile.build obj=/var/lib/dkms/xtables-addons/3.13/build/extensions \
single-build= \
need-builtin=1 need-modorder=1
make -f /usr/src/linux-headers-5.10.0-17-common/scripts/Makefile.build obj=/var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT \
 \
need-builtin= \
need-modorder=1
make -f /usr/src/linux-headers-5.10.0-17-common/scripts/Makefile.build obj=/var/lib/dkms/xtables-addons/3.13/build/extensions/pknock \
 \
need-builtin= \
need-modorder=1
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.compat_xtables.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/genera>
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_CHAOS.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/generated -I>
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT/.xt_ACCOUNT.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/ge>
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/pknock/.xt_pknock.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/gene>
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/compat_xtables.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/compat_xtables.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.compat_xtables.o.d -nostdinc -isystem />
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_CHAOS.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_CHAOS.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_CHAOS.o.d -nostdinc -isystem /usr/lib/gcc/>
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_DELUDE.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/generated ->
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/pknock/xt_pknock.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/pknock/xt_pknock.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/pknock/.xt_pknock.o.d -nostdinc -isyst>
  { echo  /var/lib/dkms/xtables-addons/3.13/build/extensions/pknock/xt_pknock.o;  echo; } > /var/lib/dkms/xtables-addons/3.13/build/extensions/pknock/xt_pknock.mod
  {   echo /var/lib/dkms/xtables-addons/3.13/build/extensions/pknock/xt_pknock.ko; :; } | awk '!x[$0]++' - > /var/lib/dkms/xtables-addons/3.13/build/extensions/pknock/modules.order
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_DHCPMAC.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/generated >
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT/xt_ACCOUNT.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT/xt_ACCOUNT.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT/.xt_ACCOUNT.o.d -nostdinc -i>
  { echo  /var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT/xt_ACCOUNT.o;  echo; } > /var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT/xt_ACCOUNT.mod
  {   echo /var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT/xt_ACCOUNT.ko; :; } | awk '!x[$0]++' - > /var/lib/dkms/xtables-addons/3.13/build/extensions/ACCOUNT/modules.order
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_DNETMAP.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/generated >
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_ECHO.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/generated -I/>
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_DELUDE.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_DELUDE.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_DELUDE.o.d -nostdinc -isystem /usr/lib/gc>
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_IPMARK.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/generated ->
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_DHCPMAC.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_DHCPMAC.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_DHCPMAC.o.d -nostdinc -isystem /usr/lib/>
   gcc-10 -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_LOGMARK.o.d -nostdinc -isystem /usr/lib/gcc/x86_64-linux-gnu/10/include -I/usr/src/linux-headers-5.10.0-17-common/arch/x86/include -I./arch/x86/include/generated >
/var/lib/dkms/xtables-addons/3.13/build/extensions/xt_ECHO.c: In function ‘echo_tg6’:
/var/lib/dkms/xtables-addons/3.13/build/extensions/xt_ECHO.c:100:55: error: passing argument 2 of ‘security_skb_classify_flow’ from incompatible pointer type [-Werror=incompatible-pointer-types]
  100 |  security_skb_classify_flow((struct sk_buff *)oldskb, flowi6_to_flowi(&fl));
      |                                                       ^~~~~~~~~~~~~~~~~~~~
      |                                                       |
      |                                                       struct flowi *
In file included from /usr/src/linux-headers-5.10.0-17-common/include/net/scm.h:8,
                 from /usr/src/linux-headers-5.10.0-17-common/include/linux/netlink.h:9,
                 from /usr/src/linux-headers-5.10.0-17-common/include/uapi/linux/neighbour.h:6,
                 from /usr/src/linux-headers-5.10.0-17-common/include/linux/netdevice.h:46,
                 from /usr/src/linux-headers-5.10.0-17-common/include/net/inet_sock.h:19,
                 from /usr/src/linux-headers-5.10.0-17-common/include/linux/udp.h:16,
                 from /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_ECHO.c:15:
/usr/src/linux-headers-5.10.0-17-common/include/linux/security.h:1660:75: note: expected ‘struct flowi_common *’ but argument is of type ‘struct flowi *’
 1660 | void security_skb_classify_flow(struct sk_buff *skb, struct flowi_common *flic);
      |                                                      ~~~~~~~~~~~~~~~~~~~~~^~~~
cc1: some warnings being treated as errors
make[2]: *** [/usr/src/linux-headers-5.10.0-17-common/scripts/Makefile.build:291 : /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_ECHO.o] Erreur 1
make[2]: *** Attente des tâches non terminées....
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_DNETMAP.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_DNETMAP.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_DNETMAP.o.d -nostdinc -isystem /usr/lib/>
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_IPMARK.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_IPMARK.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_IPMARK.o.d -nostdinc -isystem /usr/lib/gc>
   ./tools/objtool/objtool orc generate  --module --no-fp --retpoline --rethunk --uaccess /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_LOGMARK.o
  if objdump -h /var/lib/dkms/xtables-addons/3.13/build/extensions/xt_LOGMARK.o | grep -q __ksymtab; then  gcc-10 -E -D__GENKSYMS__ -Wp,-MMD,/var/lib/dkms/xtables-addons/3.13/build/extensions/.xt_LOGMARK.o.d -nostdinc -isystem /usr/lib/>
make[1]: *** [/usr/src/linux-headers-5.10.0-17-common/Makefile:1855 : /var/lib/dkms/xtables-addons/3.13/build/extensions] Erreur 2
make: *** [/usr/src/linux-headers-5.10.0-17-common/Makefile:185 : __sub-make] Erreur 2
make : on quitte le répertoire « /usr/src/linux-headers-5.10.0-17-amd64 »
 

Merci

Dernière modification par veni (02-09-2022 16:39:40)

raleur

Membre

Inscription : 03-10-2014

Re : [Résolu] Probleme d'installation de Xtables pour iptables geoip

J'ai un soucis depuis ma mise à jour du kernel en 5.10.0-17-amd64

Uniquement depuis 5.10.0-17 ? Pourtant, le changement d'ABI à l'origine de cette erreur a été introduit dans 5.10.0-16.
Extrait de /usr/share/doc/linux-image-5.10.0-16-amd64/changelog.gz :

linux (5.10.127-1) bullseye; urgency=medium
    https://www.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.10.121
    - lsm,selinux: pass flowi_common instead of flowi to the LSM hooks
 

Détail du commit :

commit 6950ee32c1879818de03f13a9a5de1be41ad2782
Author: Paul Moore <paul@paul-moore.com>
Date:   Sun Sep 27 22:38:26 2020 -0400

    lsm,selinux: pass flowi_common instead of flowi to the LSM hooks
   
    [ Upstream commit 3df98d79215ace13d1e91ddfc5a67a0f5acbd83f ]
   
    As pointed out by Herbert in a recent related patch, the LSM hooks do
    not have the necessary address family information to use the flowi
    struct safely.  As none of the LSMs currently use any of the protocol
    specific flowi information, replace the flowi pointers with pointers
    to the address family independent flowi_common struct.
 

   

C'est l'inconvénient avec les modules externes du noyau, on est à la merci des changements d'ABI qui les rendent incompatibles.
Je ne sais pas en quoi cela affecte ces add-ons, mais si seul le module geoip t'intéresse, tu peux essayer de commenter les autres modules dans /usr/src/xtables-addons-3.13/mconfig en espérant que geoip n'utilise pas l'ABI incompatible.

EDIT: la version du paquet de bookworm/testing a été mise à jour pour être compatible avec les noyaux 5.10.121 et suivants.
EDIT 2: une nouvelle version corrigée du paquet pour bullseye sera probablement incluse dans la prochaine révision 11.5 de bullseye prévue pour le 10 septembre. Elle est d'ores et déjà disponible dans le dépôt bullseye-proposed-updates, à ajouter à sources.list si tu la veux tout de suite. Attention, ce dépôt contient les autres mises à jour pas encore officielles de la révision 11.5, n'utilise pas upgrade si tu ne veux pas toutes les récupérer mais install si tu veux seulement ce paquet.

xtables-addons (3.13-1+deb11u1) bullseye; urgency=medium

  * d/patches: add patch to correct `security_skb_classify_flow` argument
    (closes: #1014680)

Dernière modification par raleur (02-09-2022 15:56:59)

---

Il vaut mieux montrer que raconter.

veni

Membre

Inscription : 06-06-2021

Re : [Résolu] Probleme d'installation de Xtables pour iptables geoip

Merci pour toutes tes réponses et recherches.

Au moins je sais que je n'ai rien fais, j'ai eu un problème de DD à 0mo de dispo à la fin de un apt upgrade et j'ai crus que ca avait mal fini. Mais ca semble pas.

Tu as eu ou les infos du "Détail du commit :" ? J'ai fais des recherches sans trouver et j'aimerais bien comprendre.

Pour le kernel j'ai sauté surement la version d'avant.

Je vais voir si je trouve le temps de l'ajouter manuellement au pire j'attendrais le 10 pour voir, pour le moment tout marche sauf le blocage par pays donc rien de trop gênant non plus.

Merci beaucoup

raleur

Membre

Inscription : 03-10-2014

Re : [Résolu] Probleme d'installation de Xtables pour iptables geoip

Tu as eu ou les infos du "Détail du commit :" ?

Dans mon clone du dépôt git des sources du noyau. J'ai demandé la liste des changements dans le fichier include/linux/security.h mentionné dans le message d'erreur entre les versions 5.10 (j'aurais pu partir d'une version plus récente si tu avais indiqué avec quelle version ça marchait encore) et 5.10.136 (qui correspond à 5.10.0-17-amd64).

git log v5.10..v5.10.136 include/linux/security.h

J'aurais pu aussi utiliser l'interface web de kernel.org : https://git.kernel.org/pub/scm/linux/ke … =v5.10.136

Dernière modification par raleur (02-09-2022 16:18:39)

---

Il vaut mieux montrer que raconter.

veni

Membre

Inscription : 06-06-2021

Re : [Résolu] Probleme d'installation de Xtables pour iptables geoip

Je viens de rajouter le bullseye-proposed-updates pour installer les paquets et tout est ok maintenant. Je viens de le # pour pas faire de connerie.

Encore une fois merci