ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] ulogd & iptables
@ 2008-09-10  2:05 Ivan Adzhubey
  2008-09-10  4:48 ` Sergey Alembekov
                   ` (2 more replies)
  0 siblings, 3 replies; 18+ messages in thread
From: Ivan Adzhubey @ 2008-09-10  2:05 UTC (permalink / raw)
  To: sisyphus

Приветствую!

Работает у меня на сервере ulogd в связке с iptables, установлен был в 
комплекте OfficeServer 4.0, который затем был доведен до Сизифа. Так вот, 
обратил внимание, что этот ulogd жрет невероятное количество CPU cycles при 
не таком уж рекордном траффике (машинка работает вебсервером). Загрузка на 
одном ядре периодически подскакивает до 70% CPU (Intel Core Quad Q9450). Это 
мне не нравится и я готов пожертвовать отслеживанием траффика чтобы это 
безобразие прекратить. Вопрос - как ulogd правильно снести? Просто удалить 
пакет? Так там еще правила в iptables для него прописаны, что с ними будет? 
Удалить правила для ulogd руками, а как на это отреагируют все остальные 
правила? Вообще iptables настроены как-то неочивидно для меня, при загрузке 
ругаются в лог, но работают, так что трогать их не очень хочется. Кто что 
может посоветовать?

--Иван


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  2:05 [sisyphus] ulogd & iptables Ivan Adzhubey
@ 2008-09-10  4:48 ` Sergey Alembekov
  2008-09-10  4:53 ` Alexey Sidorov
  2008-09-10  7:26 ` Алексей Шенцев
  2 siblings, 0 replies; 18+ messages in thread
From: Sergey Alembekov @ 2008-09-10  4:48 UTC (permalink / raw)
  To: sisyphus

В сообщении от Wednesday 10 September 2008 06:05:34 Ivan Adzhubey написал(а):
> Приветствую!
>
> Работает у меня на сервере ulogd в связке с iptables, установлен был в
> комплекте OfficeServer 4.0, который затем был доведен до Сизифа. Так вот,
> обратил внимание, что этот ulogd жрет невероятное количество CPU cycles при
> не таком уж рекордном траффике (машинка работает вебсервером). Загрузка на
> одном ядре периодически подскакивает до 70% CPU (Intel Core Quad Q9450).
> Это мне не нравится и я готов пожертвовать отслеживанием траффика чтобы это
> безобразие прекратить. Вопрос - как ulogd правильно снести? Просто удалить
> пакет? Так там еще правила в iptables для него прописаны, что с ними будет?
> Удалить правила для ulogd руками, а как на это отреагируют все остальные
> правила? Вообще iptables настроены как-то неочивидно для меня, при загрузке
> ругаются в лог, но работают, так что трогать их не очень хочется. Кто что
> может посоветовать?
А нельзя ли просто отключить логирование там, где вы его включали?



-- 
Regards, Sergey Alembekov
ALTLinux Team
xmpp: rt at jabber.ru

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  2:05 [sisyphus] ulogd & iptables Ivan Adzhubey
  2008-09-10  4:48 ` Sergey Alembekov
@ 2008-09-10  4:53 ` Alexey Sidorov
  2008-09-10  4:59   ` Ivan Adzhubey
  2008-09-10  7:26 ` Алексей Шенцев
  2 siblings, 1 reply; 18+ messages in thread
From: Alexey Sidorov @ 2008-09-10  4:53 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

Ivan Adzhubey пишет:
Так там еще правила в iptables для него прописаны, что с ними будет?
> Удалить правила для ulogd руками, а как на это отреагируют все остальные 
> правила? Вообще iptables настроены как-то неочивидно для меня, при загрузке 
> ругаются в лог, но работают, так что трогать их не очень хочется. Кто что 
> может посоветовать?
Насколько я помню, правила с ulog просто пишут в лог и iptables проскакивает дальше.
Т.е. надо просто закоментить эти правила....

-- 
Alexey Sidorov
	mailto:alex@reutman.ru
	JID: alex@reutman.ru
	ICQ: 5052225


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  4:53 ` Alexey Sidorov
@ 2008-09-10  4:59   ` Ivan Adzhubey
  2008-09-10  5:04     ` Alexey Sidorov
                       ` (2 more replies)
  0 siblings, 3 replies; 18+ messages in thread
From: Ivan Adzhubey @ 2008-09-10  4:59 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

On Wednesday 10 September 2008 12:53:27 am Alexey Sidorov wrote:
> Ivan Adzhubey пишет:
> Так там еще правила в iptables для него прописаны, что с ними будет?
>
> > Удалить правила для ulogd руками, а как на это отреагируют все остальные
> > правила? Вообще iptables настроены как-то неочивидно для меня, при
> > загрузке ругаются в лог, но работают, так что трогать их не очень
> > хочется. Кто что может посоветовать?
>
> Насколько я помню, правила с ulog просто пишут в лог и iptables
> проскакивает дальше. Т.е. надо просто закоментить эти правила....

Ну в общем да, попробую, должно получиться. Вот еще service iptables при 
старте ругается. Что ему не нравится? Проверил правила, все вроде верно.

Sep  9 21:30:35 ika iptables: Applying iptables firewall rules: succeeded
Sep  9 21:30:35 ika network: Starting iptables for default
Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "INPUT" chain in 
the "filter" table
Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "FORWARD" chain 
in the "filter" table
Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "OUTPUT" chain in 
the "filter" table
Sep  9 21:30:35 ika network: ^ICreating the "stdfwd" chain in the "filter" 
table
Sep  9 21:30:35 ika network: iptables: Chain already exists
Sep  9 21:30:35 ika network: 
ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdfwd
Sep  9 21:30:35 ika /etc/net: 
ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdfwd
Sep  9 21:30:35 ika network: ^ICreating the "stdin" chain in the "filter" 
table
Sep  9 21:30:35 ika network: iptables: Chain already exists
Sep  9 21:30:35 ika network: 
ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdin
Sep  9 21:30:35 ika /etc/net: 
ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdin
Sep  9 21:30:35 ika network: ^ICreating the "stdout" chain in the "filter" 
table
Sep  9 21:30:35 ika network: iptables: Chain already exists
Sep  9 21:30:35 ika network: 
ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdout
Sep  9 21:30:35 ika /etc/net: 
ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdout
Sep  9 21:30:35 ika network: ^ILoading rules for the "INPUT" chain in 
the "filter" table


--Иван


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  4:59   ` Ivan Adzhubey
@ 2008-09-10  5:04     ` Alexey Sidorov
  2008-09-10  7:03       ` Alexey I. Froloff
  2008-09-10  7:53     ` Stanislav Ievlev
  2008-09-10  8:33     ` Alexey I. Froloff
  2 siblings, 1 reply; 18+ messages in thread
From: Alexey Sidorov @ 2008-09-10  5:04 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

Ivan Adzhubey пишет:
> On Wednesday 10 September 2008 12:53:27 am Alexey Sidorov wrote:
>> Ivan Adzhubey пишет:
>> Так там еще правила в iptables для него прописаны, что с ними будет?
>>
>>> Удалить правила для ulogd руками, а как на это отреагируют все остальные
>>> правила? Вообще iptables настроены как-то неочивидно для меня, при
>>> загрузке ругаются в лог, но работают, так что трогать их не очень
>>> хочется. Кто что может посоветовать?
>> Насколько я помню, правила с ulog просто пишут в лог и iptables
>> проскакивает дальше. Т.е. надо просто закоментить эти правила....
> 
> Ну в общем да, попробую, должно получиться. Вот еще service iptables при 
> старте ругается. Что ему не нравится? Проверил правила, все вроде верно.
> 
> Sep  9 21:30:35 ika iptables: Applying iptables firewall rules: succeeded
> Sep  9 21:30:35 ika network: Starting iptables for default
> Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "INPUT" chain in 
> the "filter" table
> Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "FORWARD" chain 
> in the "filter" table
> Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "OUTPUT" chain in 
> the "filter" table
> Sep  9 21:30:35 ika network: ^ICreating the "stdfwd" chain in the "filter" 
> table
> Sep  9 21:30:35 ika network: iptables: Chain already exists
> Sep  9 21:30:35 ika network: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdfwd
> Sep  9 21:30:35 ika /etc/net: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdfwd
> Sep  9 21:30:35 ika network: ^ICreating the "stdin" chain in the "filter" 
> table
> Sep  9 21:30:35 ika network: iptables: Chain already exists
> Sep  9 21:30:35 ika network: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdin
> Sep  9 21:30:35 ika /etc/net: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdin
> Sep  9 21:30:35 ika network: ^ICreating the "stdout" chain in the "filter" 
> table
> Sep  9 21:30:35 ika network: iptables: Chain already exists
> Sep  9 21:30:35 ika network: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdout
> Sep  9 21:30:35 ika /etc/net: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdout
> Sep  9 21:30:35 ika network: ^ILoading rules for the "INPUT" chain in 
> the "filter" table
> 

Если проблема в "iptables: Chain already exists", то тут надо понять такую вещь:
При стопе иптаблес, он удаляет не те цепочки, которые на данный момент работают, а те, которые
прописаны в конфиге. Т.е. зачастую если что-то изменить, а потом рестартнуть иптаблес, остается мусор.
Попробуй остановить иптаблес, потом ручками убить оставшиеся цепочки/правила, и только потом 
стартануть его.
-- 
Alexey Sidorov
	mailto:alex@reutman.ru
	JID: alex@reutman.ru
	ICQ: 5052225


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  5:04     ` Alexey Sidorov
@ 2008-09-10  7:03       ` Alexey I. Froloff
  2008-09-10  7:34         ` Alexey Sidorov
  2008-09-10  8:25         ` Dmitry V. Levin
  0 siblings, 2 replies; 18+ messages in thread
From: Alexey I. Froloff @ 2008-09-10  7:03 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

[-- Attachment #1: Type: text/plain, Size: 371 bytes --]

* Alexey Sidorov <alex@> [080910 09:20]:
> Если проблема в "iptables: Chain already exists", то тут надо
> понять такую вещь: При стопе иптаблес, он удаляет не те
> цепочки, которые на данный момент работают, а те, которые
> прописаны в конфиге.
Неправда.  Посмотрите в /etc/rc.d/init.d/iptables что именно
делается на stop и restart.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  2:05 [sisyphus] ulogd & iptables Ivan Adzhubey
  2008-09-10  4:48 ` Sergey Alembekov
  2008-09-10  4:53 ` Alexey Sidorov
@ 2008-09-10  7:26 ` Алексей Шенцев
  2 siblings, 0 replies; 18+ messages in thread
From: Алексей Шенцев @ 2008-09-10  7:26 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

On Wednesday 10 September 2008 06:05:34 Ivan Adzhubey wrote:
> Приветствую!
Взаимно.

> Работает у меня на сервере ulogd в связке с iptables, установлен был в
> комплекте OfficeServer 4.0, который затем был доведен до Сизифа. Так вот,
> обратил внимание, что этот ulogd жрет невероятное количество CPU cycles при
> не таком уж рекордном траффике (машинка работает вебсервером). Загрузка на
> одном ядре периодически подскакивает до 70% CPU (Intel Core Quad Q9450).
> Это мне не нравится и я готов пожертвовать отслеживанием траффика чтобы это
> безобразие прекратить. Вопрос - как ulogd правильно снести? Просто удалить
> пакет? Так там еще правила в iptables для него прописаны, что с ними будет?
> Удалить правила для ulogd руками, а как на это отреагируют все остальные
> правила? Вообще iptables настроены как-то неочивидно для меня, при загрузке
> ругаются в лог, но работают, так что трогать их не очень хочется. Кто что
> может посоветовать?

Вы не в ту сторону смотрите. Смотрите в сторону БД, в которую пишет ulogd, ещё 
точнее на структуру основной таблицы ulogd. А именно на её столбцы. И 
подумайте, какие столбцы вам нужны, а какие нет. Не нужные удалите. И 
увидите, что время ЦПУ, ресурсы компа, да и сам размер БД заметно уменьшится.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  7:03       ` Alexey I. Froloff
@ 2008-09-10  7:34         ` Alexey Sidorov
  2008-09-10  8:25         ` Dmitry V. Levin
  1 sibling, 0 replies; 18+ messages in thread
From: Alexey Sidorov @ 2008-09-10  7:34 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

Alexey I. Froloff пишет:
> * Alexey Sidorov <alex@> [080910 09:20]:
>> Если проблема в "iptables: Chain already exists", то тут надо
>> понять такую вещь: При стопе иптаблес, он удаляет не те
>> цепочки, которые на данный момент работают, а те, которые
>> прописаны в конфиге.
> Неправда.  Посмотрите в /etc/rc.d/init.d/iptables что именно
> делается на stop и restart.
> 
Хм. Ну не знаю. Но напарывался на такое поведение.

-- 
Alexey Sidorov
	mailto:alex@reutman.ru
	JID: alex@reutman.ru
	ICQ: 5052225


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  4:59   ` Ivan Adzhubey
  2008-09-10  5:04     ` Alexey Sidorov
@ 2008-09-10  7:53     ` Stanislav Ievlev
  2008-09-10 15:09       ` Ivan Adzhubey
  2008-09-10  8:33     ` Alexey I. Froloff
  2 siblings, 1 reply; 18+ messages in thread
From: Stanislav Ievlev @ 2008-09-10  7:53 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

Там цепочка INPUT завязана на stdin. В результате не происходит
корректного её удаления при stop, вот он и ругается на то что она уже
существует при start.

On Wed, Sep 10, 2008 at 12:59:16AM -0400, Ivan Adzhubey wrote:
> On Wednesday 10 September 2008 12:53:27 am Alexey Sidorov wrote:
> > Ivan Adzhubey пишет:
> > Так там еще правила в iptables для него прописаны, что с ними будет?
> >
> > > Удалить правила для ulogd руками, а как на это отреагируют все остальные
> > > правила? Вообще iptables настроены как-то неочивидно для меня, при
> > > загрузке ругаются в лог, но работают, так что трогать их не очень
> > > хочется. Кто что может посоветовать?
> >
> > Насколько я помню, правила с ulog просто пишут в лог и iptables
> > проскакивает дальше. Т.е. надо просто закоментить эти правила....
> 
> Ну в общем да, попробую, должно получиться. Вот еще service iptables при 
> старте ругается. Что ему не нравится? Проверил правила, все вроде верно.
> 
> Sep  9 21:30:35 ika iptables: Applying iptables firewall rules: succeeded
> Sep  9 21:30:35 ika network: Starting iptables for default
> Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "INPUT" chain in 
> the "filter" table
> Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "FORWARD" chain 
> in the "filter" table
> Sep  9 21:30:35 ika network: ^ISetting ACCEPT policy for the "OUTPUT" chain in 
> the "filter" table
> Sep  9 21:30:35 ika network: ^ICreating the "stdfwd" chain in the "filter" 
> table
> Sep  9 21:30:35 ika network: iptables: Chain already exists
> Sep  9 21:30:35 ika network: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdfwd
> Sep  9 21:30:35 ika /etc/net: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdfwd
> Sep  9 21:30:35 ika network: ^ICreating the "stdin" chain in the "filter" 
> table
> Sep  9 21:30:35 ika network: iptables: Chain already exists
> Sep  9 21:30:35 ika network: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdin
> Sep  9 21:30:35 ika /etc/net: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdin
> Sep  9 21:30:35 ika network: ^ICreating the "stdout" chain in the "filter" 
> table
> Sep  9 21:30:35 ika network: iptables: Chain already exists
> Sep  9 21:30:35 ika network: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdout
> Sep  9 21:30:35 ika /etc/net: 
> ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t filter -N stdout
> Sep  9 21:30:35 ika network: ^ILoading rules for the "INPUT" chain in 
> the "filter" table
> 
> 
> --Иван
> _______________________________________________
> Sisyphus mailing list
> Sisyphus@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sisyphus


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  7:03       ` Alexey I. Froloff
  2008-09-10  7:34         ` Alexey Sidorov
@ 2008-09-10  8:25         ` Dmitry V. Levin
  2008-09-10  8:38           ` Alexey I. Froloff
  1 sibling, 1 reply; 18+ messages in thread
From: Dmitry V. Levin @ 2008-09-10  8:25 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

[-- Attachment #1: Type: text/plain, Size: 508 bytes --]

On Wed, Sep 10, 2008 at 11:03:44AM +0400, Alexey I. Froloff wrote:
> * Alexey Sidorov <alex@> [080910 09:20]:
> > Если проблема в "iptables: Chain already exists", то тут надо
> > понять такую вещь: При стопе иптаблес, он удаляет не те
> > цепочки, которые на данный момент работают, а те, которые
> > прописаны в конфиге.
> Неправда.  Посмотрите в /etc/rc.d/init.d/iptables что именно
> делается на stop и restart.

Тем более что это поведение немного менялось относительно недавно.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  4:59   ` Ivan Adzhubey
  2008-09-10  5:04     ` Alexey Sidorov
  2008-09-10  7:53     ` Stanislav Ievlev
@ 2008-09-10  8:33     ` Alexey I. Froloff
  2008-09-10 15:10       ` Ivan Adzhubey
  2 siblings, 1 reply; 18+ messages in thread
From: Alexey I. Froloff @ 2008-09-10  8:33 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

[-- Attachment #1: Type: text/plain, Size: 350 bytes --]

* Ivan Adzhubey <iadzhubey@> [080910 09:03]:
> Sep  9 21:30:35 ika iptables: Applying iptables firewall rules: succeeded
                      ^^^^^^^^
> Sep  9 21:30:35 ika network: Starting iptables for default
                      ^^^^^^^
Сначала фаервол настраивает iptables, потом то же самое делает
etcnet.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  8:25         ` Dmitry V. Levin
@ 2008-09-10  8:38           ` Alexey I. Froloff
  2008-09-10  8:42             ` Dmitry V. Levin
  2008-09-10  8:45             ` Dmitriy Kruglikov
  0 siblings, 2 replies; 18+ messages in thread
From: Alexey I. Froloff @ 2008-09-10  8:38 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

[-- Attachment #1: Type: text/plain, Size: 289 bytes --]

* Dmitry V. Levin <ldv@> [080910 12:36]:
> > Неправда.  Посмотрите в /etc/rc.d/init.d/iptables что именно
> > делается на stop и restart.
> Тем более что это поведение немного менялось относительно недавно.
restart перестал делать stop?  А с какой целью?

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  8:38           ` Alexey I. Froloff
@ 2008-09-10  8:42             ` Dmitry V. Levin
  2008-09-10  8:45             ` Dmitriy Kruglikov
  1 sibling, 0 replies; 18+ messages in thread
From: Dmitry V. Levin @ 2008-09-10  8:42 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussion list

[-- Attachment #1: Type: text/plain, Size: 429 bytes --]

On Wed, Sep 10, 2008 at 12:38:41PM +0400, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [080910 12:36]:
> > > Неправда.  Посмотрите в /etc/rc.d/init.d/iptables что именно
> > > делается на stop и restart.
> > Тем более что это поведение немного менялось относительно недавно.
> restart перестал делать stop?  А с какой целью?

Я же написал: _немного_ поменялось (в 1.3.7-alt1-1-gcdb7794), см. #12869.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  8:38           ` Alexey I. Froloff
  2008-09-10  8:42             ` Dmitry V. Levin
@ 2008-09-10  8:45             ` Dmitriy Kruglikov
  2008-09-10  8:57               ` Dmitry V. Levin
  1 sibling, 1 reply; 18+ messages in thread
From: Dmitriy Kruglikov @ 2008-09-10  8:45 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

10 сентября 2008 г. 11:38 пользователь Alexey I. Froloff  написал:
> * Dmitry V. Levin <ldv@> [080910 12:36]:
>> > Неправда.  Посмотрите в /etc/rc.d/init.d/iptables что именно
>> > делается на stop и restart.
>> Тем более что это поведение немного менялось относительно недавно.
> restart перестал делать stop?  А с какой целью?

Он и сохранять-то будет только если is_yes "$IPTABLES_SAVE_ON_RESTART" ...
Я так  понимаю, это подпорка для сохранения правил, задаваемых etcnet ...
И того, имеем два набора правил, которые сохраняются при stop или
restart|reload,
но только в случае, если is_yes ...
А по умодчанию у нас ?
(/etc/sysconfig)# grep ^[^#] iptables_params
IPTABLES_SAVE_ON_STOP=no
IPTABLES_SAVE_ON_RESTART=no
IPTABLES_RESTORE_ARGS=
IPTABLES_SAVE_ARGS=
IPTABLES_STATUS_ARGS=

В результате - мигрень ...

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  8:45             ` Dmitriy Kruglikov
@ 2008-09-10  8:57               ` Dmitry V. Levin
  2008-09-10  9:13                 ` Dmitriy Kruglikov
  0 siblings, 1 reply; 18+ messages in thread
From: Dmitry V. Levin @ 2008-09-10  8:57 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

[-- Attachment #1: Type: text/plain, Size: 1138 bytes --]

On Wed, Sep 10, 2008 at 11:45:36AM +0300, Dmitriy Kruglikov wrote:
> 10 сентября 2008 г. 11:38 пользователь Alexey I. Froloff  написал:
> > * Dmitry V. Levin <ldv@> [080910 12:36]:
> >> > Неправда.  Посмотрите в /etc/rc.d/init.d/iptables что именно
> >> > делается на stop и restart.
> >> Тем более что это поведение немного менялось относительно недавно.
> > restart перестал делать stop?  А с какой целью?
> 
> Он и сохранять-то будет только если is_yes "$IPTABLES_SAVE_ON_RESTART" ...
> Я так  понимаю, это подпорка для сохранения правил, задаваемых etcnet ...

Нет, это просто универсальный интерфейс для произвольного сисадмина,
т.е. сисадмина, который настроит по своему произволу. :)

> И того, имеем два набора правил, которые сохраняются при stop или
> restart|reload,
> но только в случае, если is_yes ...
> А по умодчанию у нас ?
> (/etc/sysconfig)# grep ^[^#] iptables_params
> IPTABLES_SAVE_ON_STOP=no
> IPTABLES_SAVE_ON_RESTART=no
> IPTABLES_RESTORE_ARGS=
> IPTABLES_SAVE_ARGS=
> IPTABLES_STATUS_ARGS=
> 
> В результате - мигрень ...

Скорее всего вы просто не умеете его готовить.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  8:57               ` Dmitry V. Levin
@ 2008-09-10  9:13                 ` Dmitriy Kruglikov
  0 siblings, 0 replies; 18+ messages in thread
From: Dmitriy Kruglikov @ 2008-09-10  9:13 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

10 сентября 2008 г. 11:57 пользователь Dmitry V. Levin  написал:

> Нет, это просто универсальный интерфейс для произвольного сисадмина,
> т.е. сисадмина, который настроит по своему произволу. :)
Логично ...
Из ком.строки напихал по самое некуда, а потом сохранил ..
Согласен ...

>
> Скорее всего вы просто не умеете его готовить.
>
Я, по простоте душевной, вынес все из /etc/net ... Подчистую...
Написал в /etc/sysconfig/iptables ...

Не исключено, что такой способ готовки встретит бурное осуждение,
но для меня это вполне удобно...

Ну и следовать за собой я не призываю :)

-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  7:53     ` Stanislav Ievlev
@ 2008-09-10 15:09       ` Ivan Adzhubey
  0 siblings, 0 replies; 18+ messages in thread
From: Ivan Adzhubey @ 2008-09-10 15:09 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

On Wednesday 10 September 2008 03:53:26 am Stanislav Ievlev wrote:
> Там цепочка INPUT завязана на stdin. В результате не происходит
> корректного её удаления при stop, вот он и ругается на то что она уже
> существует при start.

Ой, ну какой stop, это же лог загрузки системы. Нет, это дупликация правил 
в /etc/net и /etc/sysconfig, как правильно заметил Sir Raorn постом ниже. 
Куда мои глаза смотрели...

--Иван


^ permalink raw reply	[flat|nested] 18+ messages in thread

* Re: [sisyphus] ulogd & iptables
  2008-09-10  8:33     ` Alexey I. Froloff
@ 2008-09-10 15:10       ` Ivan Adzhubey
  0 siblings, 0 replies; 18+ messages in thread
From: Ivan Adzhubey @ 2008-09-10 15:10 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

On Wednesday 10 September 2008 04:33:20 am Alexey I. Froloff wrote:
> * Ivan Adzhubey <iadzhubey@> [080910 09:03]:
> > Sep  9 21:30:35 ika iptables: Applying iptables firewall rules: succeeded
>
>                       ^^^^^^^^
>
> > Sep  9 21:30:35 ika network: Starting iptables for default
>
>                       ^^^^^^^
> Сначала фаервол настраивает iptables, потом то же самое делает
> etcnet.

Это оно, спасибо! Будем исправлять.

--Иван



^ permalink raw reply	[flat|nested] 18+ messages in thread

end of thread, other threads:[~2008-09-10 15:10 UTC | newest]

Thread overview: 18+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-09-10  2:05 [sisyphus] ulogd & iptables Ivan Adzhubey
2008-09-10  4:48 ` Sergey Alembekov
2008-09-10  4:53 ` Alexey Sidorov
2008-09-10  4:59   ` Ivan Adzhubey
2008-09-10  5:04     ` Alexey Sidorov
2008-09-10  7:03       ` Alexey I. Froloff
2008-09-10  7:34         ` Alexey Sidorov
2008-09-10  8:25         ` Dmitry V. Levin
2008-09-10  8:38           ` Alexey I. Froloff
2008-09-10  8:42             ` Dmitry V. Levin
2008-09-10  8:45             ` Dmitriy Kruglikov
2008-09-10  8:57               ` Dmitry V. Levin
2008-09-10  9:13                 ` Dmitriy Kruglikov
2008-09-10  7:53     ` Stanislav Ievlev
2008-09-10 15:09       ` Ivan Adzhubey
2008-09-10  8:33     ` Alexey I. Froloff
2008-09-10 15:10       ` Ivan Adzhubey
2008-09-10  7:26 ` Алексей Шенцев

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git