OSPFD + IPtables

0

1

Доброго дня!
Заметил одно интересное явление, но не понял, с чем это связано.
Смысл:
ospfd+bgpd+zebra запускаются до iptables
bgpd работает, все как надо. OSPFD стартует, соседей видит, но маршрутами не обменивается! В логах пишет что-то типа
OSPF: Link State Acknowledgment: Neighbor[10.0.0.11] state Init is less than Exchange
Но все лечится, если дать команду service iptables restart при этом в конфиге iptables должно быть
IPTABLES_MODULES_UNLOAD=«yes»
Если OSPFD падал - то также надо дать такую команду.
Должен сказать, конфиг ospfd и правила iptables НЕ изменяются.
tcpdump разницы до/после рестарта iptables в обмене между ospf роутерами и 224.0.0.0/4 не видит.
Можно конечно в конец файла запуска ospfd запихать service iptables restart, но может кто знает, что это за хрень и есть более «красивые» пути решения, кроме как «костыль»?

Ссылка

←	Низкая скорость работы интернета через VPN (PPTP)

Ubuntu 10.10 и ext4, постепенно уменьшается свободное место

→

Но все лечится, если дать команду service iptables restart

Покажи iptables -L -nv и конфиг ospfd.

~~alikhantara~~ ★
(07.09.11 11:00:56 MSK)

Ссылка

> tcpdump разницы до/после рестарта iptables в обмене между ospf роутерами и 224.0.0.0/4 не видит.

Я взял себе за правило iptables -A INPUT -s <ospf neibor> -j ACCEPT прописывать... Заодно помогает по ssh заходить с нейбора, если ospf грохнулся вдруг.

AS ★★★★★
(07.09.11 11:56:33 MSK)

Ответ на: комментарий от AS 07.09.11 11:56:33 MSK

Все <ospf neibor> сидят в сети 10.0.0.0/24
В iptables прописано так:
:OUTPUT ACCEPT
-A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A POSTROUTING -s 224.0.0.0/4 -j ACCEPT
-A FORWARD -j ACCEPT
-A INPUT -p igmp -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -s 224.0.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 10.0.0.0/24 -j ACCEPT

Вот ospfd конфиг
Gate_main# show run

Current configuration:
!
hostname Gate_main
password zebra
log file /var/log/quagga/ospfd.log
!
!
!
interface eth0
!
interface eth1
ip ospf cost 1
!
interface eth1.100
!
interface eth1.4040
!
interface eth1:1
!
interface eth1:2
!
interface gre0
!
interface ifb0
!
interface ifb1
!
interface lo
!
interface tap0
!
interface vlan100br
!
router ospf
ospf router-id 10.0.0.1
redistribute kernel metric-type 1
redistribute static metric-type 1
passive-interface eth0
passive-interface ifb0
passive-interface lo
network 10.0.0.0/24 area 0.0.0.0
!
line vty
!
end

gich
(07.09.11 12:18:06 MSK) автор топика

Ответ на: комментарий от gich 07.09.11 12:18:06 MSK

Но в том-то и фокус, что НЕ изменяются конфиги. И правила не изменяются/не добавляются. iptables и ospfd стартуют с этими конфигами и с ними же работают после перезапуска.

gich
(07.09.11 12:19:27 MSK) автор топика

Ссылка

Ответ на: комментарий от gich 07.09.11 12:18:06 MSK

> В iptables прописано так:

Точно никто больше правил не добавляет ? Что, всё же, iptables -nL показывает ?

Или попробуй, когда не работает, сказать
iptables -I INPUT -s 10.0.0.0/24 -j ACCEPT
с обоих сторон. OSPF на eth1 ? Вообще, на первый взгляд всё нормально. ospf router-id веде уникальный ?

AS ★★★★★
(07.09.11 12:31:13 MSK)