LINUX.ORG.RU
ФорумAdmin

OSPFD + IPtables


0

1

Доброго дня!
Заметил одно интересное явление, но не понял, с чем это связано.
Смысл:
ospfd+bgpd+zebra запускаются до iptables
bgpd работает, все как надо. OSPFD стартует, соседей видит, но маршрутами не обменивается! В логах пишет что-то типа
OSPF: Link State Acknowledgment: Neighbor[10.0.0.11] state Init is less than Exchange
Но все лечится, если дать команду service iptables restart при этом в конфиге iptables должно быть
IPTABLES_MODULES_UNLOAD=«yes»
Если OSPFD падал - то также надо дать такую команду.
Должен сказать, конфиг ospfd и правила iptables НЕ изменяются.
tcpdump разницы до/после рестарта iptables в обмене между ospf роутерами и 224.0.0.0/4 не видит.
Можно конечно в конец файла запуска ospfd запихать service iptables restart, но может кто знает, что это за хрень и есть более «красивые» пути решения, кроме как «костыль»?



Последнее исправление: gich (всего исправлений: 1)

Но все лечится, если дать команду service iptables restart

Покажи iptables -L -nv и конфиг ospfd.

alikhantara
()

> tcpdump разницы до/после рестарта iptables в обмене между ospf роутерами и 224.0.0.0/4 не видит.

Я взял себе за правило iptables -A INPUT -s <ospf neibor> -j ACCEPT прописывать... Заодно помогает по ssh заходить с нейбора, если ospf грохнулся вдруг.

AS ★★★★★
()
Ответ на: комментарий от AS

Все <ospf neibor> сидят в сети 10.0.0.0/24
В iptables прописано так:
:OUTPUT ACCEPT
-A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j ACCEPT
-A POSTROUTING -s 224.0.0.0/4 -j ACCEPT
-A FORWARD -j ACCEPT
-A INPUT -p igmp -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -s 224.0.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 10.0.0.0/24 -j ACCEPT

Вот ospfd конфиг
Gate_main# show run

Current configuration:
!
hostname Gate_main
password zebra
log file /var/log/quagga/ospfd.log
!
!
!
interface eth0
!
interface eth1
ip ospf cost 1
!
interface eth1.100
!
interface eth1.4040
!
interface eth1:1
!
interface eth1:2
!
interface gre0
!
interface ifb0
!
interface ifb1
!
interface lo
!
interface tap0
!
interface vlan100br
!
router ospf
ospf router-id 10.0.0.1
redistribute kernel metric-type 1
redistribute static metric-type 1
passive-interface eth0
passive-interface ifb0
passive-interface lo
network 10.0.0.0/24 area 0.0.0.0
!
line vty
!
end

gich
() автор топика
Ответ на: комментарий от gich

Но в том-то и фокус, что НЕ изменяются конфиги. И правила не изменяются/не добавляются. iptables и ospfd стартуют с этими конфигами и с ними же работают после перезапуска.

gich
() автор топика
Ответ на: комментарий от gich

> В iptables прописано так:

Точно никто больше правил не добавляет ? Что, всё же, iptables -nL показывает ?

Или попробуй, когда не работает, сказать
iptables -I INPUT -s 10.0.0.0/24 -j ACCEPT
с обоих сторон. OSPF на eth1 ? Вообще, на первый взгляд всё нормально. ospf router-id веде уникальный ?

AS ★★★★★
()
Ответ на: комментарий от AS

> ospf router-id веде уникальный ?

Хотя нет, это не в тему, если работает иногда.

AS ★★★★★
()
Ответ на: комментарий от Pinkbyte

Hello, this is Quagga (version 0.99.18).

Fedora 14

Или попробуй, когда не работает, сказать
iptables -I INPUT -s 10.0.0.0/24 -j ACCEPT

Пробовал. Неале.

iptables -L -vxn говорит, что правило есть, и пакетики тикают. iptables -L -t nat -vxn тоже по нужным цепочкам траффик капает.

gich
() автор топика

-A INPUT -p ospf -j ACCEPT добавить для начала.

NiTr0 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.