From: "Вадим Илларионов" <gbimobou@gmail.com>
To: sisyphus@lists.altlinux.org
Subject: Re: [sisyphus] systemd-network
Date: Thu, 04 Sep 2014 15:38:52 +0900
Message-ID: <3021089.izEK7rP7Lb@it-0.tln> (raw)
In-Reply-To: <20140810025720.GA13306@mw.mithraen.ru>
[-- Attachment #1: Type: text/plain, Size: 1838 bytes --]
В письме от 10 августа 2014 06:57:20 пользователь Денис Смирнов написал:
> On Sat, Aug 09, 2014 at 02:26:20PM +0900, Вадим Илларионов wrote:
> > Уже участвовал. Модуль опенвпн для неё делал.
> > Устало удручать, что один и тот же баг которую версию кряду приходится
> > чинить после каждого обновления, вручную добавляя в config-fw подгрузку
> > xtables_preload. Иначе ломается фаервол, прописанный человечьим языком.
> > Хватит с меня.
>
> Номер бага на bugzilla и патч есть?
Багзиллу доселе не юзал, посему патч пока сюда. Что он даёт:
1. Исправлена неработоспособность iptables, когда правила написаны в human
syntax.
2. Исправлена неработоспособность ipset, так как его опции, применяемые в
эцнете, давно не соответствуют реалиям.
3. Исправлена опция включения списков ipset в iptables (--set vs --match-set).
4. Добавлена возможность написания инверсных правил ipset (not-in-set: -mset !
--match-set).
5. Для совместимости с синтаксисом ipset исключены трансляции src: --src и
dst: --dst.
6. Добавлен протокол OSPF (ospf: --protocol OSPF).
_______________________________
С уважением, *nix-администратор
Mobile: +7 (964) 103-65-67
Skype: gbIMoBou
JID = <mailto:>
Viber = Mobile
UIN: 7899517
[-- Attachment #2: etcnet.patch --]
[-- Type: text/x-patch, Size: 2843 bytes --]
--- etc/net/scripts/config-fw.old 2014-08-26 19:50:34.000000000 +0900
+++ etc/net/scripts/config-fw 2014-09-04 14:55:04.388200175 +0900
@@ -94,7 +94,8 @@
unset IPTABLES_SYNTAX IPTABLES_SED_RULES
}
}
- xtables_${ACTION} "$NAME"
+ xtables_preload
+ xtables_${ACTION} "$NAME"
;;
"ip6tables")
# FIXME Does ip6tables support only IPv6?
@@ -115,7 +116,8 @@
unset IP6TABLES_SYNTAX IP6TABLES_SED_RULES
}
}
- xtables_${ACTION} "$NAME"
+ xtables_preload
+ xtables_${ACTION} "$NAME"
;;
"ebtables")
profiled_filename_dir cfwdir "$MYIFACEDIR/fw/$CFW_TYPE" ||
@@ -125,7 +127,8 @@
print_error "$EBTABLES not found. Please, install ebtables package"
continue
}
- xtables_${ACTION} "$NAME"
+ xtables_preload
+ xtables_${ACTION} "$NAME"
;;
*)
--- etc/net/scripts/functions-fw-old 2014-08-26 19:50:34.000000000 +0900
+++ etc/net/scripts/functions-fw 2014-08-29 09:22:03.522038299 +0900
@@ -421,11 +421,11 @@
[ -n "$HEADER" ] || return 0
print_message -e "\tCreating the \"$SET\" set of the \"$TYPE\" type"
- eval "$IPSET -N $SET $TYPE $HEADER" || print_error "$IPSET -N $SET $TYPE $HEADER"
+ eval "$IPSET create $SET $TYPE" || print_error "$IPSET create $SET $TYPE"
[ -n "$MEMBERS" ] || return 0
while read; do
- eval "$IPSET -A $SET $REPLY" || print_error "$IPSET -A $SET $REPLY"
+ eval "$IPSET add $SET $REPLY" || print_error "$IPSET add $SET $REPLY"
done <<<"$MEMBERS"
}
@@ -439,7 +439,7 @@
[ -n "$RULE" ] || return 0
print_message -e "\tDestroying the \"$SET\" set of the \"$TYPE\" type"
- eval "$IPSET -X $SET" || print_error "$IPSET -X $SET"
+ eval "$IPSET destroy $SET" || print_error "$IPSET destroy $SET"
}
ipset_start()
--- etc/net/ifaces/default/fw/iptables/syntax.old 2014-08-26 19:50:34.000000000 +0900
+++ etc/net/ifaces/default/fw/iptables/syntax 2014-09-04 15:08:22.064312826 +0900
@@ -175,9 +175,12 @@
physdev-is-out: -mphysdev --physdev-is-out
physdev-is-bridged: -mphysdev --physdev-is-bridged
pkttype: -mpkttype --pkt-type
-random: -mrandom --average
+random: -mrandom --average
realm: -mrealm --realm
-set: -mset --set
+set: -mset --match-set
+in-set: -mset --match-set
+out-set: -mset ! --match-set
+not-in-set: -mset ! --match-set
state: -mstate --state
tcp-source-port: -mtcp --source-port
tcp-src-port: -mtcp --source-port
@@ -212,10 +215,8 @@
# Parameters
from: --src
-src: --src
source: --src
to: --dst
-dst: --dst
destination: --dst
sport: --source-port
src-port: --source-port
@@ -234,6 +235,7 @@
udp: --protocol UDP
icmp: --protocol ICMP
gre: --protocol GRE
+ospf: --protocol OSPF
jump: -j
jump-to: -j
any: 0.0.0.0/0
next prev parent reply other threads:[~2014-09-04 6:38 UTC|newest]
Thread overview: 93+ messages / expand[flat|nested] mbox.gz Atom feed top
2014-07-25 18:15 [sisyphus] Корень монтируется в ro :( Шенцев Алексе владимирович
2014-07-25 18:57 ` Денис Смирнов
2014-07-26 11:15 ` Michael Shigorin
2014-07-26 11:56 ` Шенцев Алексей Владимирович
2014-07-26 22:19 ` Денис Смирнов
2014-08-05 16:09 ` Шенцев Алексей Владимирович
2014-08-05 16:12 ` Michael Shigorin
2014-08-05 16:21 ` Шенцев Алексей Владимирович
2014-08-05 16:26 ` Michael Shigorin
2014-08-05 16:26 ` Шенцев Алексей Владимирович
2014-08-05 16:36 ` Michael Shigorin
2014-08-05 18:38 ` Денис Смирнов
2014-08-06 15:14 ` Michael Shigorin
2014-08-05 18:37 ` Денис Смирнов
2014-08-05 21:04 ` Шенцев Алексей Владимирович
2014-08-05 21:12 ` Денис Смирнов
2014-08-05 21:46 ` Шенцев Алексей Владимирович
2014-08-05 21:56 ` Денис Смирнов
2014-08-05 22:06 ` Шенцев Алексей Владимирович
2014-08-06 4:51 ` [sisyphus] systemd-network Денис Смирнов
2014-08-06 5:09 ` alexei
2014-08-06 20:54 ` Денис Смирнов
2014-08-07 11:47 ` Alexey Shabalin
2014-08-07 12:30 ` Денис Смирнов
2014-08-07 12:56 ` Mikhail Efremov
2014-08-07 14:08 ` Денис Смирнов
2014-08-07 16:09 ` Mikhail Efremov
2014-08-07 17:00 ` Денис Смирнов
2014-08-12 13:25 ` Mikhail Efremov
2014-08-12 14:06 ` Денис Смирнов
2014-08-12 16:06 ` Mikhail Efremov
2014-08-12 20:14 ` Денис Смирнов
2014-08-13 12:07 ` Денис Смирнов
2014-08-13 12:44 ` Mikhail Efremov
2014-08-14 15:09 ` Alexey Shabalin
2014-08-15 8:43 ` Денис Смирнов
2014-08-15 10:04 ` Alexey Shabalin
2014-08-15 12:01 ` Денис Смирнов
2014-08-15 14:07 ` Mikhail Efremov
2014-08-15 14:15 ` Денис Смирнов
2014-08-15 14:33 ` Mikhail Efremov
2014-08-15 15:47 ` Alexey Shabalin
2014-08-15 15:55 ` Mikhail Efremov
2014-08-15 17:01 ` Mikhail Efremov
2014-08-15 19:19 ` Денис Смирнов
2014-08-08 9:33 ` Alexey Shabalin
2014-08-12 13:32 ` Mikhail Efremov
2014-08-12 14:10 ` Денис Смирнов
2014-08-12 15:41 ` Mikhail Efremov
2014-08-12 20:11 ` Денис Смирнов
2014-08-15 13:58 ` Mikhail Efremov
2014-08-15 19:15 ` Денис Смирнов
2014-08-08 4:05 ` Денис Смирнов
2014-08-08 9:38 ` Alexey Shabalin
2014-08-08 17:16 ` Денис Смирнов
2014-08-12 13:38 ` Mikhail Efremov
2014-08-12 20:09 ` Денис Смирнов
2014-08-15 13:59 ` Mikhail Efremov
2014-08-15 14:04 ` Alexey Shabalin
2014-08-15 14:28 ` Mikhail Efremov
2014-08-15 15:28 ` Денис Смирнов
2014-08-15 15:50 ` Mikhail Efremov
2014-08-15 16:29 ` Денис Смирнов
2014-08-15 18:39 ` Alexey Shabalin
2014-08-15 19:02 ` Денис Смирнов
2014-08-15 16:45 ` Денис Смирнов
2014-08-15 17:02 ` Mikhail Efremov
2014-08-07 11:48 ` Вадим Илларионов
2014-08-07 12:32 ` Денис Смирнов
2014-08-07 23:55 ` Вадим Илларионов
2014-08-08 3:28 ` Денис Смирнов
2014-08-08 0:16 ` Вадим Илларионов
2014-08-08 3:30 ` Денис Смирнов
2014-08-08 4:18 ` Вадим Илларионов
2014-08-08 4:54 ` Денис Смирнов
2014-08-09 2:43 ` Вадим Илларионов
2014-08-09 3:28 ` Денис Смирнов
2014-08-09 5:26 ` Вадим Илларионов
2014-08-10 2:57 ` Денис Смирнов
2014-09-04 6:38 ` Вадим Илларионов [this message]
2014-08-10 15:49 ` Michael Shigorin
2014-08-11 1:24 ` Вадим Илларионов
2014-08-11 1:31 ` Вадим Илларионов
2014-08-10 7:05 ` Anton Gorlov
2014-08-10 9:19 ` Денис Смирнов
2015-02-20 17:16 ` Alexey Shabalin
2015-02-21 5:03 ` Вадим Илларионов
2014-08-08 0:32 ` Вадим Илларионов
2014-08-08 3:34 ` Денис Смирнов
2014-08-08 4:14 ` Вадим Илларионов
2014-08-08 17:46 ` Денис Смирнов
2014-08-11 12:16 ` [sisyphus] Корень монтируется в ro :( Sergey V Turchin
2014-08-11 13:15 ` Шенцев Алексей Владимирович
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=3021089.izEK7rP7Lb@it-0.tln \
--to=gbimobou@gmail.com \
--cc=sisyphus@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git