From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <fmfm@symmetron.msk.ru>
Message-ID: <3DD4A396.70903@symmetron.msk.ru>
Date: Fri, 15 Nov 2002 10:34:46 +0300
From: =?KOI8-R?Q?=F7=CC=C1=C4=C9=CD=C9=D2?= <fmfm@symmetron.msk.ru>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; ru-RU; rv:1.0.0) Gecko/20020526
X-Accept-Language: ru, en
MIME-Version: 1.0
To: sisyphus@altlinux.ru
Subject: Re: [sisyphus] [feature request] =?KOI8-R?Q?=DA=C1=C7=D2=D5=DA=CB?=
 =?KOI8-R?Q?=C1_=CE=D5=D6=CE=D9=C8_=CD=CF=C4=D5=CC=C5=CA_iptables?=
References: <Pine.BSF.4.44.0211141834510.43172-100000@elefant.dgtu.donetsk.ua>
X-Enigmail-Version: 0.63.3.0
X-Enigmail-Supports: pgp-inline, pgp-mime
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Id: <sisyphus.altlinux.ru>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>
Archived-At: <http://lore.altlinux.org/sisyphus/3DD4A396.70903@symmetron.msk.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

Привет всем.

На это несоответствие я давно обратил внимание.
Но дело еще в том, что простым выносом списка требуемых для
загрузки модулей не обойтись.
Если проанализировать работу startup сценария iptables по
модулям есть большое несоответствие реалиям. А именно.
Команда service iptables restart де факто выполняет reload.
Иначе, стек загруженный модулей не перегружается и все
ESTABLISHED соединения таковыми остаются.
Для "кошарности" было бы необходимо при restart
1. выгрузить правила
2. проанализировать список дополнительных загруженных модулей
по маске ip_conntrack_* (или список таковых в конфигурационном файле)
3. выгрузить дополнительные модули
4. выгрузить модуль ip_conntrack
5. только после этого вновь загрузить правила.
Пункты 1-4 (п.1 с политикой DROP) необхоимы и для
service iptables panic

Это не единственное несоответствие в startup сценарии iptables.
Может кто уже замечал, он "криво" работает, если кроме
таблицы filter используются nat и-или mangle
У себя я внес исправления, протестировал и мог бы переслать свой "рабочий"
сценарий тому, кто взялся бы его доработать "под модули", restart и panic и
сделать общим достоянием. Доделывать самому сейчас времени нет.

>>>Предлагаемый ниже патч к /etc/init.d/iptables позволит обойтись
>>>внесением в /etc/modules.conf строк
>>>
>>>above ip_tables ip_conntrack_ftp ip_nat_ftp [you name it]
>>>
>>>Там же (в /etc/modules.conf) место и опциям загружаемых модулей.
>>>      
>>>
>
><skip>
>
>  
>
>>Можно и так, но, IMHO, лучше список дополнительный модулей хранить в
>>отдельном файле, например, /etc/sysconfig/iptables. Не могли бы Вы
>>добавить этот feature request в BTS?
>>    
>>
>
>Готово. http://bugs.altlinux.ru/view_bug_page.php?f_id=0001559 :-)
>
>Там же в bugnotes мои соображения по поводу размещения списка загружаемых
>модулей в /etc/sysconfig/iptables.modules
>
>  
>
-- 
Best regards
Vladimir