Bug 19349

Summary: iptables + DNAT = not work
Product: ALT Linux Школьный Сервер Reporter: ReMaks <admaks>
Component: packagesAssignee: mex3 <mex3>
Status: CLOSED WONTFIX QA Contact: Andrey Cherepanov <cas>
Severity: blocker    
Priority: P2 CC: ruslandh
Version: 4.1.0   
Hardware: x86   
OS: Linux   

Description ReMaks 2009-03-26 18:36:10 MSK 
Школьный сервер. 4.1

при попытке использовать DNAT в скриптах или вручную - не рабатает. рагуется.

лог загрузки сети:

Mar 25 02:20:10 srv-hn-4 network: ^ILoading rules for the "POSTROUTING" chain in the "nat" table
Mar 25 02:20:10 srv-hn-4 network: iptables: Invalid argument
Mar 25 02:20:10 srv-hn-4 network: ERROR: /etc/net/scripts/config-fw: /sbin/iptables -t nat -A POSTROUTING -d 189.179.111.223 -p tcp --dport 33573 -j DNAT --to-destination 192.168.100.12:33573
Mar 25 02:20:10 srv-hn-4 network: 
Mar 25 02:20:10 srv-hn-4 network: iptables: Invalid argument

т.е. не принимается параметр -j DNAT --to-destination xxxx:y 
 
в 12 консоли: iptables: dnat: bad hook_mask 16/9


проверено на штатном ядре 2.6.18-std-def, на 2.6.26-alt3 (by lakostis), & 2.6.27-alt1 (by branch5.0)


правила при этом могут появится в цепочке, а могут и не появится.
Comment 1 Alexey Rusakov 2009-03-26 18:50:14 MSK 
Перевесил на правильный продукт.
Comment 2 ruslandh 2009-03-26 19:01:27 MSK 
Для прояснения ситуации :

В /etc/net/ifaces/default/fw/options включён-ли параметр   IPTABLES_HUMAN_SYNTAX=yes

http://www.altlinux.org/Etcnet/firewall


"Файл с правилами обрабатывает построчно (одно правило на строку); если указана опция IPTABLES_HUMAN_SYNTAX, то правило обрабатывается интерпретатором в соответствии с синтаксисом и превращается в реальные опции для команды iptables, после чего запускается iptables с этими параметрами; иначе правило без обработки передается iptables"
Comment 3 ReMaks 2009-03-26 19:12:31 MSK 
(В ответ на комментарий №2)
> Для прояснения ситуации :
> 
> В /etc/net/ifaces/default/fw/options включён-ли параметр  
> IPTABLES_HUMAN_SYNTAX=yes
> 
> http://www.altlinux.org/Etcnet/firewall
> 
> 
> "Файл с правилами обрабатывает построчно (одно правило на строку); если указана
> опция IPTABLES_HUMAN_SYNTAX, то правило обрабатывается интерпретатором в
> соответствии с синтаксисом и превращается в реальные опции для команды
> iptables, после чего запускается iptables с этими параметрами; иначе правило
> без обработки передается iptables"

я тоже об этом подумал.
выключен этот параметр. т.е. "no"
Comment 4 ReMaks 2011-01-22 11:47:18 MSK 
не могу проверить что это актуально.
кмк - уже починено в обновленых ядрах было.

закрываю