OpenVZ Forum


Home » International » Russian » Unknown iptable module: xt_state, skipped
Unknown iptable module: xt_state, skipped [message #24663] Fri, 07 December 2007 13:50 Go to next message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
Добавил в IPTABLES в файле /etc/vz/vz.conf модуль xt_state, iptables в VE ругаться перестал (не считая сообщений о невозможности загрузить modules.dep), но теперь vzctl постоянно говорит:

Warning: Unknown iptable module: xt_state, skipped


Модуль iptable_nat, похоже, known - про него vzctl не говорит ничего плохого. Чем чревато использование unknown модулей? Они вообще работоспособны?
Re: Unknown iptable module: xt_state, skipped [message #24735 is a reply to message #24663] Sat, 08 December 2007 20:59 Go to previous messageGo to next message
vaverin is currently offline  vaverin
Messages: 694
Registered: September 2005
Senior Member
From: *rev.domonet.ru
(пролог)
внутри VE доступны модули, загруженные на HWnode.
(первая серия)
Так как я не знаю подробносетй Вашей ситуации то далее я могу заблуждаться. Однако насколько я понимаю, В Вашем случае модуль изначально не был загружен на ноде, и внутри VE его использовать не полуяалось. После того как Вы добавили модуль в vz.conf он стал грузиться во время запуска старта сервиса vz и стал доступен внутри VE. (happy end, конец первой серии)

(вторая серия)
однако злобный vzctl на старте VE ругается нехорошими словами на новодобавленный модуль. В чем тут причина?
(экскурс в древнюю историю)
У vzctl set опция --iptables (и в конфиге VE может быть прописан список неких модулей). С помощью этих механизмов можно _ограничить_ доступность iptables модулей внутри VE. В старых ядрах (2.6.9) ограничение было жестким -- доступны были только явно указанные модули, использование остальных было запрещено. Каждый iptables модуль имел бит в маске доступных модулей, и ядро при старте VE по этой маске инициализировало эти модули.
А на не виртуализованные модули vzctl научили ругался нехорошими
словами.
(экскурс в несколько менее древнюю историю)
Но практика однако показала что этим механизмом никто не пользуется. А вот добавление новых модулий сильно усложнялось -- в добавок к собственно виртуализации модулей, надо было новый бит в маску добавлять, vzctl править, чтобы он этот бит устанавливал.
поэтому в новых ядрах порешили от маску урезать до более-менее разумных пределов (tables для ipv4, tables для ipv6, коннтраки и еще что-то осталось по-мелочи или недоразумению). Про остальные модули vzctl больше ничего знать не должен -- поскольку теперь они автоматом будут доступны внутри VE если они загружены на HW node.
(наше время)
И вот мы очередной раз видим, что vzctl грубо ругает какой-то модуль. Что тут происходит? По всей вероятности этот модуль оказался прописан в <ve>.conf. поэтому он постоянно попадается на глаза vzctl и тот при старте в очередной раз посылает бедного родственника.

(эпилог)
проверьте конфиг файл VE и уберите оттуда список iptables модулей совсем.
(полный happy end, зановес)
....
(на бис)
А вот если в VE-шном конфиге этого модуля нет -- то обращайтесь еще раз, надо булет разобраться каким образом vzctl пронюхивает про этот модуль.

С уважением,
Василий Аверин
Re: Unknown iptable module: xt_state, skipped [message #24746 is a reply to message #24735] Sun, 09 December 2007 11:54 Go to previous messageGo to next message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
В VE-шном конфиге этот модуль есть, а выглядит параметр IPTABLES так:

IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat xt_state xt_multiport"


Три последних модуля были добавлены вручную, остальные (в vzctl от ALT Linux) уже были. Как я понял, правильным будет так:

IPTABLES="ipt_REJECT iptable_filter iptable_mangle iptable_nat"


При таком раскладе iptables в VE работает без ругани. Коннтраки почему-то не требуются, по крайней мере для ftp.
Re: Unknown iptable module: xt_state, skipped [message #24754 is a reply to message #24746] Sun, 09 December 2007 15:31 Go to previous messageGo to next message
vaverin is currently offline  vaverin
Messages: 694
Registered: September 2005
Senior Member
From: *rev.domonet.ru
В VE-шном конфиге список модулей лучше убрать совсем. А список в глобальном конфиге используется при старте сервиса vz для того чтобы загрузить необходимые модули. И в этот список IMHO имеет смысл забить вообще все iptables модули -- чтобы иметь возможность внутри любой VE их заюзать. (но с другой стороны все эти модули ресурсы потребляют, так что без нужды их лучше все-таки не грузить)

Впрочем лучше всего корректировать список iptables модулей в настойках сервиса который firewall на HW node поднимает (конкретное имя не указываю, поскольку в разных дистрибутивах за это отвечают разные сервисы)

С уважением,
Василий Аверин
Re: Unknown iptable module: xt_state, skipped [message #24764 is a reply to message #24754] Mon, 10 December 2007 05:05 Go to previous messageGo to next message
enpx is currently offline  enpx
Messages: 50
Registered: October 2006
Member
From: *donpac.ru
Оговорился, приведенный выше длинный список был именно в глобальном конфиге, и при его сокращении до минимума проблемы, похоже, исчезли . В конфигах VE переменная IPTABLES пуста.

Конфигурить firewall на HN - не совсем то, HN хочется оставить пустым, а все VE маршрутизировать через один VE.
Re: Unknown iptable module: xt_state, skipped [message #24819 is a reply to message #24764] Tue, 11 December 2007 05:24 Go to previous message
vaverin is currently offline  vaverin
Messages: 694
Registered: September 2005
Senior Member
From: *sw.ru
Конфигурировать firewall на ноде совсем не обязательно. Единственно что нужно -- это модули на ноде загрузить. И согласитесь, наиболее логично грузить iptables модули из сервиса который c iptables работает.
Previous Topic: Терминации L2/L3 в OpenVZ
Next Topic: Проблемы с рестартом сетевых интерфейсов
Goto Forum:
  


Current Time: Fri Oct 18 09:37:14 GMT 2019