[sisyphus] [feature request] загрузка нужных модулей iptables

[Владимир]

Привет всем.

На это несоответствие я давно обратил внимание.
Но дело еще в том, что простым выносом списка требуемых для
загрузки модулей не обойтись.
Если проанализировать работу startup сценария iptables по
модулям есть большое несоответствие реалиям. А именно.
Команда service iptables restart де факто выполняет reload.
Иначе, стек загруженный модулей не перегружается и все
ESTABLISHED соединения таковыми остаются.
Для "кошарности" было бы необходимо при restart
1. выгрузить правила
2. проанализировать список дополнительных загруженных модулей
по маске ip_conntrack_* (или список таковых в конфигурационном файле)
3. выгрузить дополнительные модули
4. выгрузить модуль ip_conntrack
5. только после этого вновь загрузить правила.
Пункты 1-4 (п.1 с политикой DROP) необхоимы и для
service iptables panic

Это не единственное несоответствие в startup сценарии iptables.
Может кто уже замечал, он "криво" работает, если кроме
таблицы filter используются nat и-или mangle
У себя я внес исправления, протестировал и мог бы переслать свой "рабочий"
сценарий тому, кто взялся бы его доработать "под модули", restart и panic и
сделать общим достоянием. Доделывать самому сейчас времени нет.

>>>Предлагаемый ниже патч к /etc/init.d/iptables позволит обойтись
>>>внесением в /etc/modules.conf строк
>>>
>>>above ip_tables ip_conntrack_ftp ip_nat_ftp [you name it]
>>>
>>>Там же (в /etc/modules.conf) место и опциям загружаемых модулей.
>>>      
>>>
>
><skip>
>
>  
>
>>Можно и так, но, IMHO, лучше список дополнительный модулей хранить в
>>отдельном файле, например, /etc/sysconfig/iptables. Не могли бы Вы
>>добавить этот feature request в BTS?
>>    
>>
>
>Готово. http://bugs.altlinux.ru/view_bug_page.php?f_id=0001559 :-)
>
>Там же в bugnotes мои соображения по поводу размещения списка загружаемых
>модулей в /etc/sysconfig/iptables.modules
>
>  
>
-- 
Best regards
Vladimir