iptables [message #8769] |
Wed, 06 December 2006 06:15 |
fresh
Messages: 28 Registered: July 2006 Location: Russia, Perm
|
Junior Member |
|
|
Доброго дня господа.
Возникла интересная особенность.
Вот в конфиге написано
IPTABLES="ipt_tcp ipt_udp ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_conntrack ipt_helper ipt_length ipt_limit ipt_LOG ipt_REDIRECT ipt_state ipt_tos ipt_TOS"
захожу в вм и вижу
Warning: Unknown iptable module: ipt_tcp, skipped
Warning: Unknown iptable module: ipt_udp, skipped
При этом внетри вм оч замечательно работают правила использующие этот модуль.
Если его убрать из конфига /etc/vz/vz.conf
то при загрузке правил внутри вм Начинается стандартная ругань.
Как так?
PS на системе Debian. Постоянно обновляюсь с вашего репозитария, так что версия последняя
[Updated on: Wed, 06 December 2006 06:17] Report message to a moderator
|
|
|
|
|
Re: iptables [message #8785 is a reply to message #8769] |
Wed, 06 December 2006 09:44 |
fresh
Messages: 28 Registered: July 2006 Location: Russia, Perm
|
Junior Member |
|
|
openvz:/home/fresh# vzctl start 152
Warning: Unknown iptable module: xt_tcpudp, skipped
Warning: Unknown iptable module: ipt_tcp, skipped
Warning: Unknown iptable module: ipt_udp, skipped
А вот так? Это я добавил в конфиге подгружать xt_tcpudp. сервер полностью загружен и потом только запускается одна ВМ. Другие уже работают.
[Updated on: Wed, 06 December 2006 09:55] Report message to a moderator
|
|
|
|
|
Re: iptables [message #8866 is a reply to message #8860] |
Fri, 08 December 2006 09:03 |
dim
Messages: 344 Registered: August 2005
|
Senior Member |
|
|
Я плохо знаком с дебианом, поэтому раскажу как это должно быть в RedHat-based дистрибутивах. В них есть /etc/init.d/iptables скрипт, который управляет загрузкой фаерволла и iptables модулей. Если его посмотреть, то можно найти в каком файле и какую переменную указать, чтобы подгрузить нужный модуль на старте (/etc/sysconfig/iptables-config, IPTABLES_MODULES, если ничего не путаю).
Далее, vzctl устанавливает файл /etc/init.d/vz, который управляет загрузкой ОпенВЗ на старте ноды. В том числе, этот файл подгружает и iptables модули, указанные в переменной IPTABLES_MODULES в /etc/vz/vz.conf
Так как xt_tcpudp появился только в девел ядрах, а vzctl у нас общий, vzctl не понимает это значение (равно как и ipt_tcp, ipt_udp), если указать ему его в /etc/vz/vz.conf и выдает предупреждение. Но если при этом нода перегружалась или вызывался /etc/init.d/vz restart, то всё работает, так как modprobe данный модуль находит и грузит.
Чтобы vzctl не ругался, вам нужно прописать этот модуль не в /etc/vz//vz.conf, а в /etc/sysconfig/iptables-config. Тогда модуль будет подгружаться iptables скриптом, как это и должно быть изначально.
P.S. Это баг, мы рано или поздно его починим.
|
|
|
|
|
|