OpenVZ Forum: Russian

Home » International » Russian » iptables

Show: Today's Messages :: Show Polls :: Message Navigator
E-mail to friend

iptables [message #8769]

Wed, 06 December 2006 06:15

fresh
Messages: 28
Registered: July 2006
Location: Russia, Perm

Junior Member

Доброго дня господа.
Возникла интересная особенность.
Вот в конфиге написано
IPTABLES="ipt_tcp ipt_udp ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_conntrack ipt_helper ipt_length ipt_limit ipt_LOG ipt_REDIRECT ipt_state ipt_tos ipt_TOS"

захожу в вм и вижу

Warning: Unknown iptable module: ipt_tcp, skipped
Warning: Unknown iptable module: ipt_udp, skipped

При этом внетри вм оч замечательно работают правила использующие этот модуль.

Если его убрать из конфига /etc/vz/vz.conf
то при загрузке правил внутри вм Начинается стандартная ругань.

Как так? Smile

PS на системе Debian. Постоянно обновляюсь с вашего репозитария, так что версия последняя

[Updated on: Wed, 06 December 2006 06:17]

Report message to a moderator

Re: iptables [message #8775 is a reply to message #8769]

Wed, 06 December 2006 08:06

Vasily Tarasov
Messages: 1345
Registered: January 2006

Senior Member

Необходимо убедиьтся, что ещё до старта VE необходимые ядерные модули загружены на HN: ipt_tcp, ipt_udp.

Надеюсь поможет,
vass.

Report message to a moderator

Re: iptables [message #8780 is a reply to message #8769]

Wed, 06 December 2006 08:59

dim
Messages: 344
Registered: August 2005

Senior Member

Где такие модули есть?
Насколько я знаю, есть модуль xt_tcpudp в ядрах > 2.6.16, в предыдущих версиях его функциональность была включена в ip_tables модуль и доступна по умолчанию.

Если у вас ядро > 2.6.16 версии, то нужно обеспечить загрузку xt_tcpudp до старта ВЕ - сейчас vzctl этого не делает.

http://static.openvz.org/openvz_userbar_en.gif

Report message to a moderator

Re: iptables [message #8785 is a reply to message #8769]

Wed, 06 December 2006 09:44

fresh
Messages: 28
Registered: July 2006
Location: Russia, Perm

Junior Member

openvz:/home/fresh# vzctl start 152
Warning: Unknown iptable module: xt_tcpudp, skipped
Warning: Unknown iptable module: ipt_tcp, skipped
Warning: Unknown iptable module: ipt_udp, skipped

А вот так? Это я добавил в конфиге подгружать xt_tcpudp. сервер полностью загружен и потом только запускается одна ВМ. Другие уже работают.

[Updated on: Wed, 06 December 2006 09:55]

Report message to a moderator

Re: iptables [message #8788 is a reply to message #8785]

Wed, 06 December 2006 10:03

dim
Messages: 344
Registered: August 2005

Senior Member

Какое ядро используете?

Report message to a moderator

Re: iptables [message #8860 is a reply to message #8788]

Fri, 08 December 2006 05:35

fresh
Messages: 28
Registered: July 2006
Location: Russia, Perm

Junior Member

fresh@openvz:~$ uname -a
Linux openvz 2.6.18-028test007-openvz #1 SMP Wed Dec 6 11:53:23 YEKT 2006 i686 GNU/Linux

Report message to a moderator

Re: iptables [message #8866 is a reply to message #8860]

Fri, 08 December 2006 09:03

dim
Messages: 344
Registered: August 2005

Senior Member

Я плохо знаком с дебианом, поэтому раскажу как это должно быть в RedHat-based дистрибутивах. В них есть /etc/init.d/iptables скрипт, который управляет загрузкой фаерволла и iptables модулей. Если его посмотреть, то можно найти в каком файле и какую переменную указать, чтобы подгрузить нужный модуль на старте (/etc/sysconfig/iptables-config, IPTABLES_MODULES, если ничего не путаю).

Далее, vzctl устанавливает файл /etc/init.d/vz, который управляет загрузкой ОпенВЗ на старте ноды. В том числе, этот файл подгружает и iptables модули, указанные в переменной IPTABLES_MODULES в /etc/vz/vz.conf

Так как xt_tcpudp появился только в девел ядрах, а vzctl у нас общий, vzctl не понимает это значение (равно как и ipt_tcp, ipt_udp), если указать ему его в /etc/vz/vz.conf и выдает предупреждение. Но если при этом нода перегружалась или вызывался /etc/init.d/vz restart, то всё работает, так как modprobe данный модуль находит и грузит.

Чтобы vzctl не ругался, вам нужно прописать этот модуль не в /etc/vz//vz.conf, а в /etc/sysconfig/iptables-config. Тогда модуль будет подгружаться iptables скриптом, как это и должно быть изначально.

P.S. Это баг, мы рано или поздно его починим.

Report message to a moderator

Re: iptables [message #8872 is a reply to message #8866]

Fri, 08 December 2006 13:04

fresh
Messages: 28
Registered: July 2006
Location: Russia, Perm

Junior Member

неа..

openvz:/home/fresh# modprobe ipt_tcp
openvz:/home/fresh# modprobe ipt_udp

openvz:/home/fresh# /etc/init.d/vz restart
Shutting down VE 153
Shutting down VE 154
Shutting down VE 152
Shutting down VE 151
Stopping OpenVZ: ..done
Starting OpenVZ: ..done
Bringing up interface venet0: ..done
Configuring interface venet0: ..done
Starting VE 151: ..done
Starting VE 152: ..done
Starting VE 153: ..done
Starting VE 154: ..done

openvz:/home/fresh# vzctl enter 153
Warning: Unknown iptable module: xt_tcpudp, skipped
Warning: Unknown iptable module: ipt_tcp, skipped
Warning: Unknown iptable module: ipt_udp, skipped
entered into VE 153

Report message to a moderator

Re: iptables [message #8873 is a reply to message #8872]

Fri, 08 December 2006 14:03

dim
Messages: 344
Registered: August 2005

Senior Member

1) Уберите ipt_tcp, ipt_udp, xt_tcpudp из конфига, в котором вы их прописали.
2) сделайте modprobe xt_tcpudp
3) vzctl start
4) и будет вам щастье Smile

Report message to a moderator

Re: iptables [message #8876 is a reply to message #8873]

Fri, 08 December 2006 14:36

fresh
Messages: 28
Registered: July 2006
Location: Russia, Perm

Junior Member

шамаааааааааааан....

объяснишь почему?

Report message to a moderator

Previous Topic:	intel drivers: запуск произвольного кода в контексте ядра.
Next Topic:	template Debian etch

Goto Forum:

-=] Back to Top [=-

[ Syndicate this forum (XML) ] [

] [

]

Current Time: Sun Sep 15 04:16:28 GMT 2024

Total time taken to generate the page: 0.03687 seconds