OpenVZ Forum: Russian » Unknown iptable module: xt

Home » International » Russian » Unknown iptable module: xt_state, skipped

Show: Today's Messages :: Show Polls :: Message Navigator
E-mail to friend

Unknown iptable module: xt_state, skipped [message #24663]

Fri, 07 December 2007 13:50

enpx
Messages: 50
Registered: October 2006

Member

Добавил в IPTABLES в файле /etc/vz/vz.conf модуль xt_state, iptables в VE ругаться перестал (не считая сообщений о невозможности загрузить modules.dep), но теперь vzctl постоянно говорит:

Warning: Unknown iptable module: xt_state, skipped

Модуль iptable_nat, похоже, known - про него vzctl не говорит ничего плохого. Чем чревато использование unknown модулей? Они вообще работоспособны?

Report message to a moderator

Re: Unknown iptable module: xt_state, skipped [message #24735 is a reply to message #24663]

Sat, 08 December 2007 20:59

vaverin
Messages: 708
Registered: September 2005

Senior Member

(пролог)
внутри VE доступны модули, загруженные на HWnode.
(первая серия)
Так как я не знаю подробносетй Вашей ситуации то далее я могу заблуждаться. Однако насколько я понимаю, В Вашем случае модуль изначально не был загружен на ноде, и внутри VE его использовать не полуяалось. После того как Вы добавили модуль в vz.conf он стал грузиться во время запуска старта сервиса vz и стал доступен внутри VE. (happy end, конец первой серии)

(вторая серия)
однако злобный vzctl на старте VE ругается нехорошими словами на новодобавленный модуль. В чем тут причина?
(экскурс в древнюю историю)
У vzctl set опция --iptables (и в конфиге VE может быть прописан список неких модулей). С помощью этих механизмов можно _ограничить_ доступность iptables модулей внутри VE. В старых ядрах (2.6.9) ограничение было жестким -- доступны были только явно указанные модули, использование остальных было запрещено. Каждый iptables модуль имел бит в маске доступных модулей, и ядро при старте VE по этой маске инициализировало эти модули.
А на не виртуализованные модули vzctl научили ругался нехорошими
словами.
(экскурс в несколько менее древнюю историю)
Но практика однако показала что этим механизмом никто не пользуется. А вот добавление новых модулий сильно усложнялось -- в добавок к собственно виртуализации модулей, надо было новый бит в маску добавлять, vzctl править, чтобы он этот бит устанавливал.
поэтому в новых ядрах порешили от маску урезать до более-менее разумных пределов (tables для ipv4, tables для ipv6, коннтраки и еще что-то осталось по-мелочи или недоразумению). Про остальные модули vzctl больше ничего знать не должен -- поскольку теперь они автоматом будут доступны внутри VE если они загружены на HW node.
(наше время)
И вот мы очередной раз видим, что vzctl грубо ругает какой-то модуль. Что тут происходит? По всей вероятности этот модуль оказался прописан в <ve>.conf. поэтому он постоянно попадается на глаза vzctl и тот при старте в очередной раз посылает бедного родственника.

(эпилог)
проверьте конфиг файл VE и уберите оттуда список iptables модулей совсем.
(полный happy end, зановес)
....
(на бис)
А вот если в VE-шном конфиге этого модуля нет -- то обращайтесь еще раз, надо булет разобраться каким образом vzctl пронюхивает про этот модуль.

С уважением,
Василий Аверин

Report message to a moderator

Re: Unknown iptable module: xt_state, skipped [message #24746 is a reply to message #24735]

Sun, 09 December 2007 11:54

enpx
Messages: 50
Registered: October 2006

Member

В VE-шном конфиге этот модуль есть, а выглядит параметр IPTABLES так:

IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat xt_state xt_multiport"

Три последних модуля были добавлены вручную, остальные (в vzctl от ALT Linux) уже были. Как я понял, правильным будет так:

IPTABLES="ipt_REJECT iptable_filter iptable_mangle iptable_nat"

При таком раскладе iptables в VE работает без ругани. Коннтраки почему-то не требуются, по крайней мере для ftp.

Report message to a moderator

Re: Unknown iptable module: xt_state, skipped [message #24754 is a reply to message #24746]

Sun, 09 December 2007 15:31

vaverin
Messages: 708
Registered: September 2005

Senior Member

В VE-шном конфиге список модулей лучше убрать совсем. А список в глобальном конфиге используется при старте сервиса vz для того чтобы загрузить необходимые модули. И в этот список IMHO имеет смысл забить вообще все iptables модули -- чтобы иметь возможность внутри любой VE их заюзать. (но с другой стороны все эти модули ресурсы потребляют, так что без нужды их лучше все-таки не грузить)

Впрочем лучше всего корректировать список iptables модулей в настойках сервиса который firewall на HW node поднимает (конкретное имя не указываю, поскольку в разных дистрибутивах за это отвечают разные сервисы)

С уважением,
Василий Аверин

Report message to a moderator

Re: Unknown iptable module: xt_state, skipped [message #24764 is a reply to message #24754]

Mon, 10 December 2007 05:05

enpx
Messages: 50
Registered: October 2006

Member

Оговорился, приведенный выше длинный список был именно в глобальном конфиге, и при его сокращении до минимума проблемы, похоже, исчезли . В конфигах VE переменная IPTABLES пуста.

Конфигурить firewall на HN - не совсем то, HN хочется оставить пустым, а все VE маршрутизировать через один VE.

Report message to a moderator

Re: Unknown iptable module: xt_state, skipped [message #24819 is a reply to message #24764]

Tue, 11 December 2007 05:24

vaverin
Messages: 708
Registered: September 2005

Senior Member

Конфигурировать firewall на ноде совсем не обязательно. Единственно что нужно -- это модули на ноде загрузить. И согласитесь, наиболее логично грузить iptables модули из сервиса который c iptables работает.

Report message to a moderator

Previous Topic:	Терминации L2/L3 в OpenVZ
Next Topic:	Проблемы с рестартом сетевых интерфейсов

Goto Forum:

-=] Back to Top [=-

[ Syndicate this forum (XML) ] [

] [

]

Current Time: Tue Nov 05 18:43:43 GMT 2024

Total time taken to generate the page: 0.03558 seconds