From: Владимир <fmfm@symmetron.msk.ru>
To: sisyphus@altlinux.ru
Subject: Re: [sisyphus] [feature request] загрузка нужных модулей iptables
Date: Fri, 15 Nov 2002 10:34:46 +0300
Message-ID: <3DD4A396.70903@symmetron.msk.ru> (raw)
In-Reply-To: <Pine.BSF.4.44.0211141834510.43172-100000@elefant.dgtu.donetsk.ua>
Привет всем.
На это несоответствие я давно обратил внимание.
Но дело еще в том, что простым выносом списка требуемых для
загрузки модулей не обойтись.
Если проанализировать работу startup сценария iptables по
модулям есть большое несоответствие реалиям. А именно.
Команда service iptables restart де факто выполняет reload.
Иначе, стек загруженный модулей не перегружается и все
ESTABLISHED соединения таковыми остаются.
Для "кошарности" было бы необходимо при restart
1. выгрузить правила
2. проанализировать список дополнительных загруженных модулей
по маске ip_conntrack_* (или список таковых в конфигурационном файле)
3. выгрузить дополнительные модули
4. выгрузить модуль ip_conntrack
5. только после этого вновь загрузить правила.
Пункты 1-4 (п.1 с политикой DROP) необхоимы и для
service iptables panic
Это не единственное несоответствие в startup сценарии iptables.
Может кто уже замечал, он "криво" работает, если кроме
таблицы filter используются nat и-или mangle
У себя я внес исправления, протестировал и мог бы переслать свой "рабочий"
сценарий тому, кто взялся бы его доработать "под модули", restart и panic и
сделать общим достоянием. Доделывать самому сейчас времени нет.
>>>Предлагаемый ниже патч к /etc/init.d/iptables позволит обойтись
>>>внесением в /etc/modules.conf строк
>>>
>>>above ip_tables ip_conntrack_ftp ip_nat_ftp [you name it]
>>>
>>>Там же (в /etc/modules.conf) место и опциям загружаемых модулей.
>>>
>>>
>
><skip>
>
>
>
>>Можно и так, но, IMHO, лучше список дополнительный модулей хранить в
>>отдельном файле, например, /etc/sysconfig/iptables. Не могли бы Вы
>>добавить этот feature request в BTS?
>>
>>
>
>Готово. http://bugs.altlinux.ru/view_bug_page.php?f_id=0001559 :-)
>
>Там же в bugnotes мои соображения по поводу размещения списка загружаемых
>модулей в /etc/sysconfig/iptables.modules
>
>
>
--
Best regards
Vladimir
next prev parent reply other threads:[~2002-11-15 7:34 UTC|newest]
Thread overview: 8+ messages / expand[flat|nested] mbox.gz Atom feed top
2002-11-14 12:58 Андрей Булава
2002-11-14 13:16 ` Konstantin Volckov
2002-11-14 16:38 ` Андрей Булава
2002-11-15 7:34 ` Владимир [this message]
2002-11-15 10:26 ` [sisyphus] " Michael Shigorin
2002-11-15 15:38 ` Dmitry Lebkov
2002-11-18 14:58 ` Андрей Булава
2002-11-18 23:17 ` Dmitry Lebkov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=3DD4A396.70903@symmetron.msk.ru \
--to=fmfm@symmetron.msk.ru \
--cc=sisyphus@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git