LINUX.ORG.RU
решено ФорумGeneral

libvirtd удаляет файл с правилами iptables


0

1

Заметил что иногда произвольно удаляется все содержимое файла /etc/sysconfig/iptables. Даже если не запущены виртуальные машины, а просто работает демон libvirtd. Сопоставив время изменения этого файла с логами заметил там следующее: 

Jul 24 11:11:44 server libvirtd: 11:11:44.406: error : remoteDispatchAuthPolkit:3810 : Policy kit denied action org.libvirt.unix.manage from pid 12936, uid 500, result: 256
Jul 24 11:17:42 server libvirtd: 11:17:42.097: warning : qemudDispatchSignalEvent:392 : Shutting down on signal 15
Jul 24 11:18:20 server libvirtd: Could not find keytab file: /etc/libvirt/krb5.tab: No such file or directory
Jul 24 11:18:20 server libvirtd: 11:18:20.290: error : virRunWithHook:933 : internal error '/sbin/iptables --table filter --delete INPUT --in-interface virbr0 --protocol udp --destination-port 69 --jump ACCEPT' exited with non-zero status 1 and signal 0: iptables: Bad rule (does a matching rule exist in that chain?).#012
Jul 24 11:18:20 server kernel: lo: Disabled Privacy Extensions
Jul 24 11:18:21 server libvirtd: 11:18:21.974: error : remoteDispatchAuthPolkit:3810 : Policy kit denied action org.libvirt.unix.manage from pid 12936, uid 500, result: 256
Jul 24 11:19:26 server libvirtd: 11:19:26.969: error : remoteDispatchAuthPolkit:3810 : Policy kit denied action org.libvirt.unix.manage from pid 12936, uid 500, result: 256
Jul 24 11:21:01 server libvirtd: 11:21:01.426: error : virLibConnError:450 : this function is not supported by the connection driver: virConnectNumOfInterfaces
Jul 24 11:21:01 server libvirtd: 11:21:01.609: error : qemudDomainGetVcpus:6353 : Requested operation is not valid: cannot list vcpu pinning for an inactive domain
Jul 24 11:21:01 server libvirtd: 11:21:01.633: error : qemudDomainGetVcpus:6353 : Requested operation is not valid: cannot list vcpu pinning for an inactive domain
Jul 24 11:21:01 server libvirtd: 11:21:01.643: error : qemudDomainGetVcpus:6353 : Requested operation is not valid: cannot list vcpu pinning for an inactive domain
Jul 24 11:21:25 server libvirtd: 11:21:25.259: error : remoteDispatchAuthPolkit:3810 : Policy kit denied action org.libvirt.unix.manage from pid 22705, uid 500, result: 256
Jul 24 11:22:27 server libvirtd: 11:22:27.155: error : virLibConnError:450 : this function is not supported by the connection driver: virConnectNumOfInterfaces
Jul 24 11:22:27 server libvirtd: 11:22:27.307: error : qemudDomainGetVcpus:6353 : Requested operation is not valid: cannot list vcpu pinning for an inactive domain
Jul 24 11:22:27 server libvirtd: 11:22:27.317: error : qemuDomainGetJobInfo:12057 : Requested operation is not valid: domain is not running
Jul 24 11:22:27 server libvirtd: 11:22:27.346: error : qemudDomainGetVcpus:6353 : Requested operation is not valid: cannot list vcpu pinning for an inactive domain
Jul 24 11:22:27 server libvirtd: 11:22:27.353: error : qemuDomainGetJobInfo:12057 : Requested operation is not valid: domain is not running
Jul 24 11:22:27 server libvirtd: 11:22:27.372: error : qemudDomainGetVcpus:6353 : Requested operation is not valid: cannot list vcpu pinning for an inactive domain
Jul 24 11:22:27 server libvirtd: 11:22:27.378: error : qemuDomainGetJobInfo:12057 : Requested operation is not valid: domain is not running
Судя по 4-й строчке должно удалиться 1 правило, но почему-то стирается все. Еще поломалось локальное подключение к виртуальным машинам через Менеджер Виртуальных Машин. Перестал спрашивает логин/пароль и говорить что неверная аутентификация. Через сеть нормально работает. И да CentOS 6.


Mutter в KDE - это реально?
[решение] О переключении раскладок в иксах
Ответ на: комментарий от AlexGAV

когда iptables перезапускаю претензий на содержимое нет. Как можно проверить что именно неправильно?

ALeo
() автор топика
Ответ на: комментарий от Slavaz 
# Generated by iptables-save v1.4.7 on Thu Jul 21 00:34:25 2011
*nat
:PREROUTING ACCEPT [11141:1152111]
:POSTROUTING ACCEPT [3:353]
:OUTPUT ACCEPT [296:18108]
-A PREROUTING -i eth+ -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.156.6:22 
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535 
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535 
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE 
-A POSTROUTING -o eth0 -j MASQUERADE 
-A POSTROUTING -o eth1 -j MASQUERADE 
-A PREROUTING -i eth+ -p tcp --dport 2222 -j DNAT --to-destination 192.168.155.6:22
-A PREROUTING -i eth+ -p tcp --dport 2200 -j DNAT --to-destination 192.168.122.150:22
COMMIT
# Completed on Thu Jul 21 00:34:25 2011
# Generated by iptables-save v1.4.7 on Thu Jul 21 00:34:25 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [36584:28538164]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT 
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i eth2 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 7788 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2222 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2200 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25565 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8303 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 111 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 111 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2049 -j ACCEPT 
-A INPUT -p udp -m state --state NEW -m udp --dport 2049 -j ACCEPT 
-A INPUT -j REJECT --reject-with icmp-host-prohibited 
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT 
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT 
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable 
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -p icmp -j ACCEPT 
-A FORWARD -i lo -j ACCEPT 
-A FORWARD -i eth2 -j ACCEPT 
-A FORWARD -i eth3 -j ACCEPT 
-A FORWARD -o eth0 -j ACCEPT 
-A FORWARD -o eth1 -j ACCEPT 
-A FORWARD -d 192.168.155.6/32 -i eth+ -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A FORWARD -d 192.168.122.150/32 -i eth+ -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A FORWARD -j REJECT --reject-with icmp-host-prohibited 
COMMIT
# Completed on Thu Jul 21 00:34:25 2011
# Generated by iptables-save v1.4.7 on Thu Jul 21 00:34:25 2011
*mangle
:PREROUTING ACCEPT [83837:49446641]
:INPUT ACCEPT [56089:40243857]
:FORWARD ACCEPT [27629:9196125]
:OUTPUT ACCEPT [61745:45185812]
:POSTROUTING ACCEPT [89379:54382097]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill 
COMMIT
# Completed on Thu Jul 21 00:34:25 2011
ALeo
() автор топика
Ответ на: комментарий от ALeo

попробуйте добавить то правило, которое libvirtd пытается удалить

Slavaz ★★★★★
()

ALeo> libvirtd ... /etc/sysconfig/iptables

Не верю! Впервые слышу чтобы libvirtd трогал чужие файлы.

sdio ★★★★★
()
Ответ на: комментарий от sdio

Сейчас несколько раз проверил, при старте libvirtd 

service libvirtd start
/etc/sysconfig/iptables становится пустым. А в логе только: 
Aug  4 20:54:09 server libvirtd: Could not find keytab file: /etc/libvirt/krb5.tab: No such file or directory
Aug  4 20:54:10 server kernel: lo: Disabled Privacy Extensions
Но похоже это никакого отношения к происходящиму не имеет.

ALeo
() автор топика
Ответ на: комментарий от ALeo

ALeo> Кажется нашел это в багзиле редхата

вообще не то.

sdio ★★★★★
()

Спроси их в багтрекере, чо за фигня происходит.

AnDoR ★★★★★
()

Решено вот этими строчками:

echo "-I FORWARD -m physdev --physdev-is-bridged -j ACCEPT" > /etc/sysconfig/iptables-forward-bridged
lokkit --custom-rules=ipv4:filter:/etc/sysconfig/iptables-forward-bridged

Взятых из документации http://wiki.libvirt.org/page/Networking

ALeo
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Mutter в KDE - это реально?
General
[решение] О переключении раскладок в иксах