Bug 54599 - всегда включает ip_forward при применении настроек
Summary: всегда включает ip_forward при применении настроек
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-net-iptables (show other bugs)
Version: unstable
Hardware: all Linux
: P5 normal
Assignee: Mikhail Efremov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2025-06-02 15:53 MSK by Michael Shigorin
Modified: 2025-06-02 15:53 MSK (History)
2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Michael Shigorin 2025-06-02 15:53:55 MSK 
Скрипт iptables_helper из alterator-net-iptables по состоянию на 4.19.11 делает

echo 1 >/proc/sys/net/ipv4/ip_forward

либо

echo 1 >/proc/sys/net/ipv6/conf/all/forwarding

при commit_settings() -- что, вообще говоря, ошибка (судя по всему, присутствовавшая в модуле изначально): форвардинг может быть излишним и даже нести угрозу безопасности сети в случае включения на узле в нескольких сетях/VLAN, от которого такое поведение не ожидается.

Предлагаю дополнить скрипт функцией явного включения форвардинга:
* включенная по умолчанию галка в ui;
* включается при dnat_on();
* не факт, что стоит сбрасывать при dnat_off()/dnat_clear();
* доступна через CLI (команда alterator-net-iptables является симлинком на
  iptables_helper), например, по опции -f <mode> (без указания режима совсем
  хорошо бы зачитывать и возвращать текущее значение для выбранного -4/-6
  или подразумеваемого ipv4).