По сравнению с ovz-smp не хватает модулей: button (не знаю зачем он мне правда), xt_state (очень важен, т.к. в VE без него iptables -P INPUT DROP игнорирует -m state и, как следствие никуда выходит сам). И если уж дойдут руки, то ipt_NETFLOW (его собрал из исходников отдельно, но в соседних ядрах он давно есть). Чего еще из модулей не хватает пока что не понял.
# grep -i button /boot/config-2.6.32-ovz-el-alt4 CONFIG_ACPI_BUTTON=y # grep -i state /boot/config-2.6.32-ovz-el-alt4 CONFIG_NETFILTER_XT_MATCH_STATE=y Это все в ядро вкомпилено, а не модулем.
Про button согласен. С xt_state ситуация такова: на HN работает прекрасно, на VE не ругается, но строчка -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT просто игнорируется и, соответственно, при -P INPUT DROP имеем полное отсутствие коннекта куда-либо во внешний мир. То есть, получается что модуль есть, но не работает.
А это, как уже и обсуждалось -- не к сборщику ядра, а в апстрим модуля.
Если к upstream, то почему тот же самый модуль, но собранный отдельно в другом ядре - работает нормально?
Я бы начинал со сравнения modinfo ...ага, тут-то статиком. В общем, версию бы попытался сопоставить для начала.
Мда, первая же ссылка по запросу в гугле подсказала решение. Приношу всем свои извинения за невнимательность.
Решение вопроса: http://forum.openvz.org/index.php?t=msg&goto=14536& Вкратце - добавил ipt_state в список модулей iptables для всех VE в /etc/vz/vz.conf
