| Не работает -m comment в iptables [message #36919] |
Thu, 30 July 2009 08:10  |
lithium
Messages: 78
Registered: April 2007
|
Member |
|
|
Привет всем.
CentOS 5.3, OpenVZ ставил через yum, все обновления.
Попробовал запустить iptables с --comment в контейнере:
iptables v1.3.5: Unknown arg `--comment'
Try `iptables -h' or 'iptables --help' for more information.
Если указать c -m comment:
iptables: Unknown error 4294967295
C помощью locate в HN нашел:
/lib/iptables/libipt_comment.so
/lib/modules/2.6.18-128.1.1.el5.028stab062.3/kernel/net/netfilter/xt_comment.ko
[другие ядра]
/vz/private/200/lib/iptables/libipt_comment.so
Добавляю в /etc/vz/vz.conf к IPTABLES="..." xt_comment, перезагружаю контейнер:
[...]
Warning: Unknown iptable module: xt_comment, skipped
[...]
То же самое для libipt_comment и (на всякий случай) ipt_comment.
Если попробовать отдельно для контейнера:
# vzctl set 200 --iptables xt_comment
Warning: Unknown iptable module: xt_comment, skipped
Warning: Unknown iptable module: xt_comment, skipped
Bad parameter for --iptables: xt_comment
Я что-то не так сделал?
[Updated on: Thu, 30 July 2009 08:14] Report message to a moderator |
|
|
|
|
|
| Re: Не работает -m comment в iptables [message #36961 is a reply to message #36959] |
Wed, 05 August 2009 06:31  |
lithium
Messages: 78
Registered: April 2007
|
Member |
|
|
# modprobe xt_comment
# lsmod | grep xt_comment
xt_comment 5888 0
x_tables 19204 12 xt_comment,xt_tcpudp,ipt_LOG,xt_length,ipt_ttl,xt_tcpmss,ipt _TCPMSS,xt_multiport,xt_limit,ipt_tos,ipt_REJECT,ip_tables
# vzctl set 200 --iptables xt_comment
Warning: Unknown iptable module: xt_comment, skipped
Warning: Unknown iptable module: xt_comment, skipped
Bad parameter for --iptables: xt_comment
# vzctl start 200
Warning: Unknown iptable module: xt_comment, skipped
# vzctl enter 200
Warning: Unknown iptable module: xt_comment, skipped
entered into CT 200
однако в контейнере в iptables теперь этот модуль работает.
[Updated on: Wed, 05 August 2009 06:33] Report message to a moderator |
|
|
|
|
|
|
|
|
|
| Re: Не работает -m comment в iptables [message #36966 is a reply to message #36964] |
Wed, 05 August 2009 07:39 |
lithium
Messages: 78
Registered: April 2007
|
Member |
|
|
> Я не понимаю, какой формат должно иметь подобное описание. По-моему, проще всего, когда получаешь ошибку EPERM в каком-либо приложении, сделать strace на эту программу и посмотреть, чего именно не хватает.
ну вот, например chown: я внутри VE выполняю команду chown без проблем, хотя в конфиге для VE в CAPABILITY= этого параметра нет.
Что такое dac_override, dac_read_search и примерно половина других вещей я совершенно не представляю. Может это какие-то стандартные для Linux вещи, но я таких слов не встречал в своей работе. Если они описаны в каком-нибудь readme в исходниках стандартного ядра -- можно добавить об этом упоминание.
Часть параметров вроде chown интуитивно понятна, mknod, net_raw и еще около 5, но прав я или нет в своих предположениях -- нужно проверять опытным путем.
Параметры setveid, ve_admin (и может еще какие) явно OpenVZ-специфичные, непонятно что они дают.
То есть я имею в виду добавление небольшой заметки чтобы человек пробежался по ней и понял, что даст ему включения каких-либо опции для VE. Как допустим я из заметки про OpenVPN знаю теперь что CAPABILITY="NET_ADMIN:on", похоже, позволяет создавать сетевые устройства или изменять маршруты или еще что-то на эту тему (но опять же предположения и догадки).
|
|
|
|
|
|
|
|
|
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
)
