„Hibaüzenet: physdev match: using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore” változatai közötti eltérés

A W3HOST wiki wikiből
 
12. sor: 12. sor:
 
Azaz gyakorlatilag ez ''csak'' egy figyelmeztetés, hogy a ''--physdev-out'' opciót csak ''bridge'' eszköz esetén SZABAD használni.
 
Azaz gyakorlatilag ez ''csak'' egy figyelmeztetés, hogy a ''--physdev-out'' opciót csak ''bridge'' eszköz esetén SZABAD használni.
  
Főleg XEN használata esetén ha ezektől az állandó ''syslog'' bejegyzésektől mentesülni akarunk, a ''--physdev-is-bridged'' opciót is helyezzük el a szabály létrehozásakor.
+
Ha ezektől az állandó ''syslog'' bejegyzésektől mentesülni akarunk, a ''--physdev-is-bridged'' opciót is helyezzük el a szabály létrehozásakor.
  
 
Azaz:
 
Azaz:
 
  iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m physdev --physdev-is-bridged --physdev-out vif12.0 -j ACCEPT
 
  iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m physdev --physdev-is-bridged --physdev-out vif12.0 -j ACCEPT
 +
 +
XEN használata esetén pedig a javítás:
 +
[http://xenbits.xen.org/hg/xen-unstable.hg/rev/b0fe8260cefa XEN vif-common.sh]
 +
 +
<source lang="diff">
 +
1.1 --- a/tools/hotplug/Linux/vif-common.sh Wed Nov 10 14:15:23 2010 +0000
 +
1.2 +++ b/tools/hotplug/Linux/vif-common.sh Wed Nov 10 14:37:19 2010 +0000
 +
1.3 @@ -105,10 +105,10 @@ frob_iptable()
 +
1.4      local c="-D"
 +
1.5    fi
 +
1.6 
 +
1.7 -  iptables "$c" FORWARD -m physdev --physdev-in "$vif" "$@" -j ACCEPT \
 +
1.8 +  iptables "$c" FORWARD -m physdev --physdev-is-bridged --physdev-in "$vif" "$@" -j ACCEPT \
 +
1.9      2>/dev/null &&
 +
1.10    iptables "$c" FORWARD -m state --state RELATED,ESTABLISHED -m physdev \
 +
1.11 -    --physdev-out "$vif" -j ACCEPT 2>/dev/null
 +
1.12 +    --physdev-is-bridged --physdev-out "$vif" -j ACCEPT 2>/dev/null
 +
1.13 
 +
1.14    if [ "$command" == "online" -a $? -ne 0 ]
 +
1.15    then
 +
</source>

A lap jelenlegi, 2013. február 13., 17:49-kori változata

physdev match: using --physdev-out in the OUTPUT, FORWARD and POSTROUTING chains for non-bridged traffic is not supported anymore

Ha bridge-elt interfészekre iptables szabályt definiálunk például a FORWARD láncban --physdev-out segítségével, a címben említett hibaüzenetet láthatjuk a syslog fájlban. Debian Squueze XEN dom0 használata esetén ez szinte biztos.

Például:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m physdev --physdev-out vif12.0 -j ACCEPT

iptables manual:

If the packet won't leave by a bridge device or if it is yet unknown what the output device will be,
then the packet won't match this option option unless '!' is used.

Azaz gyakorlatilag ez csak egy figyelmeztetés, hogy a --physdev-out opciót csak bridge eszköz esetén SZABAD használni.

Ha ezektől az állandó syslog bejegyzésektől mentesülni akarunk, a --physdev-is-bridged opciót is helyezzük el a szabály létrehozásakor.

Azaz:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -m physdev --physdev-is-bridged --physdev-out vif12.0 -j ACCEPT

XEN használata esetén pedig a javítás: XEN vif-common.sh

1.1 --- a/tools/hotplug/Linux/vif-common.sh	Wed Nov 10 14:15:23 2010 +0000
1.2 +++ b/tools/hotplug/Linux/vif-common.sh	Wed Nov 10 14:37:19 2010 +0000
1.3 @@ -105,10 +105,10 @@ frob_iptable()
1.4      local c="-D"
1.5    fi
1.6  
1.7 -  iptables "$c" FORWARD -m physdev --physdev-in "$vif" "$@" -j ACCEPT \
1.8 +  iptables "$c" FORWARD -m physdev --physdev-is-bridged --physdev-in "$vif" "$@" -j ACCEPT \
1.9      2>/dev/null &&
1.10    iptables "$c" FORWARD -m state --state RELATED,ESTABLISHED -m physdev \
1.11 -    --physdev-out "$vif" -j ACCEPT 2>/dev/null
1.12 +    --physdev-is-bridged --physdev-out "$vif" -j ACCEPT 2>/dev/null
1.13  
1.14    if [ "$command" == "online" -a $? -ne 0 ]
1.15    then