Автор Тема: При переходе с ядра 2.6.18 на 2.6.27 перестали работать правила iptables (Прочитано 1951 раз)

XeLLi · « : 29.04.2009 10:49:12 »

После перехода на branch 5.0 и обновления ядра до 2.6.27 перестали работать правила iptables в цепочке FORWARD. Если выключить дроп форварда по умолчанию, то все пакеты форвордятся нормально. НО, если восстановить дроп форварда и загрузить свои правила, то они не работают(хотя до обновления работали отлично). В чем может быть проблема?

Sugar · « **Ответ #1 :** 29.04.2009 13:15:57 »

Мб вся штука в разнице синтаксисов версий iptables??
Судя по http://sisyphus.ru/srpm/Branch41/iptables/ в branch 5.0 iptbales 1.4.0, а в branch 4.1 - 1.3.7
Рекомендую Вам применить утилиту iptables-save, и сравнить с синтаксисом man iptables. Только удостоверстесь, что маны свежие =)
Попробуйте запостить сюда вывод itptables-save, мож кто работает с iptables 1.4.0 и укажет на ошибку (я сам на на 1.3.7 ;))

XeLLi · « **Ответ #2 :** 29.04.2009 14:29:46 »

Я понимаю, что версия iptables старше, но я нигде не нашел информации об изменениях в синтаксисе правил, ни на офицальном сайте проекта, ни на каких-либо иных ресурсах.

Andrey · « **Ответ #3 :** 29.04.2009 17:40:58 »

Ну показывайте ваши правила,попробую найти где проверить...

XeLLi · « **Ответ #4 :** 30.04.2009 09:59:59 »

Есть vzшный интерфейс venet0, есть интерфейс, принимающий пакеты с локальной сети eth0. Для форворда пакетов в venet0 и обратно прописываю:

Цитировать

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o venet0 -j ACCEPT
iptables -A FORWARD -i venet0 -o eth0 -j ACCEPT

Andrey · « **Ответ #5 :** 30.04.2009 10:37:03 »

Код: [Выделить]

]# iptables -nvL FORWARD
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  492  189K stdfwd     all  --  *      *       0.0.0.0/0            0.0.0.0/0
  489  188K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    1    48 ACCEPT     all  --  eth0   vmnet1  0.0.0.0/0            0.0.0.0/0
    2    96 ACCEPT     all  --  vmnet1 eth0    0.0.0.0/0            0.0.0.0/0

Как видно форвард работает, правда не vzшном интерфейсе, это vmware. Возможно не в iptables дело, а в OVZ.
Я к сожалению не могу OVZ-ядро проверить...

XeLLi · « **Ответ #6 :** 12.05.2009 09:54:27 »

Проблема решена. Для настройки фаерволла использовал etcnet, добавлял нестандартные таблицы, а после смены ядра ссылки на них потерялись, поэтому ничего и не форвардилось.

Форум сообщества
Альт Линукс