[technique] Problèmes iptables OpenVZ
Arne Stölck
tetalab at ikujam.org
Mer 13 Juin 14:27:56 CEST 2012
Bonjour,
d'après page 70 de
http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf :
In order to load extra iptables modules or not to load certain default
modules inside particular VPSs, you should explicitly indicate what
modules you wish to be loaded to these VPSs either by modifying the
IPTABLES parameter in the respective VPS configuration files or by
using the vzctl command.
For example:
# vzctl set 101 --iptables iptable_filter \
--iptables ipt_length --iptables ipt_limit \
--iptables iptable_mangle --iptables ipt_REJECT -- save
This command will tell OpenVZ to load only the following modules
to VPS 101: iptable_filter, ipt_length, ipt_limit, iptable_mangle,
ipt_REJECT. This information will also be saved in the VPS
configuration file thanks to the --save option. Loading a new set of
iptables modules does not happen on the fly. You should restart the VPS
for the changes to take effect.
----------------------------------------
chez moi (debian unstable) ça donne :
/etc/vz/vz.conf:42:## IPv4 iptables kernel modules
/etc/vz/vz.conf:43:IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport
iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl
ipt_length"
/etc/vz/vz.conf:44:## IPv4 iptables kernel modules to be loaded by
init.d/vz script
/etc/vz/vz.conf:45:IPTABLES_MODULES="$IPTABLES"
----------------------------------------
je penses que le sushi est par là ~
bonne aprèm,
arne
Message du 13/06/12 par Solarus <solarus at ultrawaves.net> :
> Le 2012-06-12 18:32, Fabien Dupont a écrit :
>
> > J'ai en effet besoin de plus d'info. Notamment une primordiale :
> > quel est le problème ? Port non ouvert ? Pertes de paquets ?
> > Problème de routage ?
> > (Don't ask to ask, just ask.)
>
> Merci Fabien, voici quelques problèmes plus en détail.
>
> Problème de NAT :
>
> root at ultrawaves:~# iptables -t nat -A POSTROUTING -s 10.253.255.0/24
> -o eth0 -j MASQUERADE
> iptables v1.4.8: can't initialize iptables table `nat': Table does
> not exist (do you need to insmod?)
> Perhaps iptables or your kernel needs to be upgraded.
>
> A priori il y a un problème de module à activer pour l'hote OpenVZ
> mais je trouve pas quoi et où.
>
> Iptable :
>
> root at ultrawaves:~# iptables -A INPUT -m state --state ESTABLISHED -j
> ACCEPT
> iptables: No chain/target/match by that name.
>
> Je n'arrive pas à activer la règle Iptables autorisant les connexions
> entrantes pour des sessions établies.
>
> Je cherche sur des forums mais je trouve pas grand chose.
> Merci d'avance pour votre aide.
>
--
Plus d'informations sur la liste de diffusion technique