From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.5 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.5 Message-ID: <5098A809.4010101@altlinux.ru> Date: Tue, 06 Nov 2012 10:02:49 +0400 From: Anton Gorlov User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20121026 Thunderbird/16.0.2 MIME-Version: 1.0 To: ALT Linux sysadmin discuss Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit X-Authenticated-As: agorlov@locum.ru Subject: [Sysadmins] libvirt iptables rule X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 06 Nov 2012 06:04:02 -0000 Archived-At: List-Archive: Добрый день. Дано - libvirt и private network. Роутером выступает host node. На хосте, среди прочих правил файрволла есть -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Но так как libvirt свои правила добавляет в самое начало, то соответственно до этого правила не доходит, ибо перекрываются [0:0] -A FORWARD -d 192.168.152.0/24 -o virbr1 -j ACCEPT [0:0] -A FORWARD -s 192.168.152.0/24 -i virbr1 -j ACCEPT Вопрос - как бы всё таки решить данную проблему?