LINUX.ORG.RU
решено ФорумAdmin

iptables-restore материться на COMMIT

 , ,


0

1

Добрый день

Есть proxmox, в нем крутиться openvz виртуалка на основе CentOS 6.4 x64 - при попытке перезапустить iptables получаю

#service iptables restart
iptables: Сбрасываются правила межсетевого экрана:         [  OK  ]
iptables: Цепочкам назначается политика ACCEPT: mangle filt[  OK  ]
iptables: Выгружаются модули:                              [  OK  ]
iptables: Применяются правила межсетевого экрана: iptables-restore: line 14 failed
                                                           [СБОЙ ]
А 14-я строка это просто
# cat /etc/sysconfig/iptables | head -16 | tail -1
COMMIT

Файл пробовал редактировать вручную, пробовал через system-config-firewall-tui оставлять только 22 и 80-й порт, итог один и тот же на линии с COMMIT fail

Гуглеж привел к очень похожему по поведению http://www.securitylab.ru/forum/forum21/topic6345/ но там блин 2004-й год, а сейчас 2013-й

Рядом крутятся еще две таких же виртуалки, и всё тип топ.

Взываю к коллективному разуму что это такое может быть и куда обратить свой взор ?

★★

Ответ на: комментарий от Kuzz

да вроде ничего сверхъестественного

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

TEX ★★ ()
Ответ на: комментарий от NemesisSOAD
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables: No chain/target/match by that name.

Эм... и что за беду это означает ?

TEX ★★ ()
Ответ на: комментарий от Kuzz
# modprobe ip_conntrack
FATAL: Module ip_conntrack not found.
# modprobe ipt_state
FATAL: Module ipt_state not found

Раз это openvz, проблема я так понимаю на стороне хоста. А то я как бы только админ гостя.

PS: Насчет других виртуалок я поторопился, там та же песня, что говорит за проблемы на хосте

TEX ★★ ()
Ответ на: комментарий от TEX

«Прощелкал», да)

А так, похоже не хватает модуля.
И если "-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT" проходит, значит нет conntrack-а.

Kuzz ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.