[Hardware] x86_64 ovz iptables (was: Чипсет Intel p35)

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Пт Мар 14 11:13:31 MSK 2008 

On Fri, Mar 14, 2008 at 06:36:59AM +0600, Michael Pozhidaev wrote:
> >> Вопрос, он есть официальный для галочки, или можно брать и юзать?
> > Миш, брось эти глупости -- самые разные машины уже по году
> Да, хорошо-хорошо. Мне уже всё объяснили. Дела
> администрирования делаю постольку-поскольку, основная работа
> лежит совсем не в этой области, поэтому и бываю иногда и не в
> курсе.

Аналогично.

> Но вот такие письма всё-таки откладываются под корой мозга, а
> потом порождают ненавязчивые сомнения. 

Вот за это и "благодарен" паникёрам-авторам... отчасти их
небезразличие понимая (сам порой тоже закатывал истерики вида
"дашожэтотакоеснамибудет"), одобрить никак не могу.

Взялся за гуж -- не говори, что не дюж :)

> ***
> Джентельмены,
> кто подскажет: попробовал обкатать "сервер"
> (2.6.18-ovz-smp-alt14 #1 SMP Wed May 2 15:41:34 MSD 2007 x86_64
> GNU/Linux), всё бы ничего, но внезапно выяснилосб, что
> совершанно и напрочь НЕ РАБОТАЕТ NAT. Никак, даже в виде
> постейшей цепочки из учебника. Такое впечателение. что
> форвардинг пакетов запрещён, в логах пакеты есть, толку -- нет.

Скорее всего, мои любимые грабли #2 -- в /etc/net/sysctl.conf
не включено net.ipv4.ip_forward = 1

> http://lists.altlinux.org/pipermail/community/2008-February/403790.html

О, не я один такой умный...
http://lists.altlinux.org/pipermail/community/2008-February/403792.html

Хотя у Глеба дело вроде было не в том:
http://lists.altlinux.org/pipermail/community/2008-February/403912.html

> ***
> Это вот и отложилось. А почему бы этому и не отложиться?

Не знаю, о чём там речь, но NAT для маршрутизации по VE'шкам
использую с ядрами 2.6.18-ovz-smp-alt* изрядное время -- больше
двух лет (наверное, ещё с .16).  Никаких подобных проблем не
встречал.  Возможно, хроническая профнепригодность (всё-таки
типа-манагер, а не нормальный администратор), но при отладке
iptables первым делом предъявлял бы не "подземный стук",
а "прекрасно работавшие ранее правила", ну и при подозрениях
в кривости ядра устроил стендовые испытания, куда можно было
бы запустить причастных к сборке ядра/iptables.

2 glebus: пропустил тот тред (не успевал читать всю почту),
но вообще от далеко не начинающего специалиста странно видеть
настолько неконкретные сообщения -- ни версий-сборок ядер,
ни "подстриженной" конфигурации файрвола... молодеете? :)

-- 
 ---- WBR, Michael Shigorin <mike at altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Подробная информация о списке рассылки Hardware