[Sysadmins] iptables не открывает порты
Andrey Kuleshov
=?iso-8859-1?q?drew_=CE=C1_bumer=2Ecom=2Eua?=
Пн Мар 12 20:11:12 MSK 2007
Dmitriy L. Kruglikov wrote:
> На календаре было: Понедельник, 12 Март 2007 года,
> Andrey Kuleshov писал(а) в сообщении:
>
> AK == Andrey Kuleshov
>
>
> AK> А, по большому счету, именно этой идеи мне и нехватало!
> Это скепсис ?
>
Вовсе нет! Совершенно серьезно. Собсно, никто не ищет легких путей, было
бы понятно куда двигаться.
> Мне такие скрипты сразу кажутся неудобоваримыми ...
>
Может и так, но за весьма продолжительное время не было повода винить
скрипты, хотя я не настаиваю.
> AK> Работало. Много лет/много машин...
> Ну, это вообще не показатель ...
> Разве что, ваши машины клонированы с одного винта и после этого
> ни кто не обновлялся ...
>
> AK> > Скорее всего, какого-либо модуля не собрано ...
> AK> >
> AK> А как определить соответствие модулей из правил пакетного фильтра и
> AK> файлов модулей?
> Модули живут в
> /lib/modules/"версия_ядра"/kernel/net/ipv4/netfilter
> ip_conntrack.ko нужен для " -m conntrack ", например...
>
М..ня.. от незнания куда ткнуться были попытки загрузить _все_ модули из
этого каталога...
>
> AK> Да это не проблема. Знать бы что искать...
> Ищите строку, которая не сработает...
>
Да, я уже понял, что надо все правила полностью переписать. Если не
найдется затык, то хоть заново что-то изваяю.
> AK> Это да! Но еще раз подчеркну: скрипт взят с работающего компа
> А ядра у них одинаковые, модули все есть, версии совпадают ?
>
Вначале я писал, что на тестовой системе ситуация не воспроизводится, а
отличие неработающей системы от тестовой только в том, что на
неработающей стоит два физических процессора, а на тестовой один
двухядерный. Неужели в этом может быть затык?!
--
AK1041-UANIC
Подробная информация о списке рассылки Sysadmins