Hibaüzenet: physdev match: using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore
A W3HOST wiki wikiből
physdev match: using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore
Ha bridge-elt interfészekre iptables szabályt definiálunk például a FORWARD láncban --physdev-out segítségével, a címben említett hibaüzenetet láthatjuk a syslog fájlban. Debian Squueze XEN dom0 használata esetén ez szinte biztos.
Például:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m physdev --physdev-out vif12.0 -j ACCEPT
iptables manual:
If the packet won't leave by a bridge device or if it is yet unknown what the output device will be, then the packet won't match this option option unless '!' is used.
Azaz gyakorlatilag ez csak egy figyelmeztetés, hogy a --physdev-out opciót csak bridge eszköz esetén SZABAD használni.
Ha ezektől az állandó syslog bejegyzésektől mentesülni akarunk, a --physdev-is-bridged opciót is helyezzük el a szabály létrehozásakor.
Azaz:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m physdev --physdev-is-bridged --physdev-out vif12.0 -j ACCEPT
XEN használata esetén pedig a javítás: XEN vif-common.sh
1.1 --- a/tools/hotplug/Linux/vif-common.sh Wed Nov 10 14:15:23 2010 +0000 1.2 +++ b/tools/hotplug/Linux/vif-common.sh Wed Nov 10 14:37:19 2010 +0000 1.3 @@ -105,10 +105,10 @@ frob_iptable() 1.4 local c="-D" 1.5 fi 1.6 1.7 - iptables "$c" FORWARD -m physdev --physdev-in "$vif" "$@" -j ACCEPT \ 1.8 + iptables "$c" FORWARD -m physdev --physdev-is-bridged --physdev-in "$vif" "$@" -j ACCEPT \ 1.9 2>/dev/null && 1.10 iptables "$c" FORWARD -m state --state RELATED,ESTABLISHED -m physdev \ 1.11 - --physdev-out "$vif" -j ACCEPT 2>/dev/null 1.12 + --physdev-is-bridged --physdev-out "$vif" -j ACCEPT 2>/dev/null 1.13 1.14 if [ "$command" == "online" -a $? -ne 0 ] 1.15 then