From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.5 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.5 Message-ID: <5098B958.3090206@altlinux.ru> Date: Tue, 06 Nov 2012 11:16:40 +0400 From: Anton Gorlov User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:16.0) Gecko/20121026 Thunderbird/16.0.2 MIME-Version: 1.0 To: ALT Linux sysadmins' discussion References: <5098A809.4010101@altlinux.ru> <18824270.108.1352184966772.JavaMail.taf@taf.ilimnet.ru> In-Reply-To: <18824270.108.1352184966772.JavaMail.taf@taf.ilimnet.ru> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-Authenticated-As: agorlov@locum.ru Subject: Re: [Sysadmins] libvirt iptables rule X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 06 Nov 2012 07:17:07 -0000 Archived-At: List-Archive: 06.11.2012 10:56, Alexei Takaseev пишет: >> Дано - libvirt и private network. >> Роутером выступает host node. >> На хосте, среди прочих правил файрволла есть >> -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS >> --clamp-mss-to-pmtu >> Но так как libvirt свои правила добавляет в самое начало, то >> соответственно до этого правила не доходит, ибо перекрываются >> [0:0] -A FORWARD -d 192.168.152.0/24 -o virbr1 -j ACCEPT >> [0:0] -A FORWARD -s 192.168.152.0/24 -i virbr1 -j ACCEPT >> Вопрос - как бы всё таки решить данную проблему? > Посместить это правило в таблицу mangle О. Спасибо мил человек. Про mangle как-то забыл вовсе.. редко где пользую..