EM
насколько я понял, в этом месте перескаются настройки сети docker и neutron. Если кто знает точнее, подскажите
Size: a a a
2020 December 24
EM
netfilter или nftables ?
Ubuntu 20.04, вроде там netfilter, я в сетях плаваю)
AM
Ubuntu 20.04, вроде там netfilter, я в сетях плаваю)
Netfilter represents a set of hooks inside the Linux kernel. А вот Iptables и nf_tables его настраивают
EM
в моём случае жить стало проще с отключённым netfilter:
sysctl -w net.bridge.bridge-nf-call-iptables=0ох да, конечно эта команда не отключает netfilter) она отключает фильтрацию трафика мост
AM
при переходе на nf_tables посоны сказали не ссать, мол мы вам дадим новую iptables и она будет работать один в один, но лучше. А старую назовем iptables-legacy и вперёт.
Но в нашем случае было не так, так как удаление цепочки немного отличалось от старого поведения
Но в нашем случае было не так, так как удаление цепочки немного отличалось от старого поведения
AM
ох да, конечно эта команда не отключает netfilter) она отключает фильтрацию трафика мост
у тебя тогда arp_spoofing protection не работает, да и насколько я помню почти все правила применяются именно на бриджах
R
ладно парни, что делать то :) в инете что то особо не пишут
R
на ussuri такая же ерунда
AM
ладно парни, что делать то :) в инете что то особо не пишут
уходи с nf_tables
DK
в 8 центосе намерено и качественно удален iptables-legacy
AM
в 8 центосе намерено и качественно удален iptables-legacy
но нас это не остановило, притаскиваешь контейнер и делаешь хостнетворк 🙂
AM
ну точнее в нашем случае centos 8 в контейнере, а крутится на 18.04
DK
но нас это не остановило, притаскиваешь контейнер и делаешь хостнетворк 🙂
все так, но firewalld если запущен на хосте заставит попотеть
DK
---
# Can be: nftables|iptables
prepare_default_firewalld_backend: iptables
---
- name: Set proper firewalld backend
become: true
ini_file:
no_extra_spaces: true
option: FirewallBackend
path: /etc/firewalld/firewalld.conf
section: null
value: "{{ prepare_default_firewalld_backend }}"
AM
все так, но firewalld если запущен на хосте заставит попотеть
а это прикольный момент когда у тебя 2 набора правил, легаси и nf . Может вызвать сплитбрейн, при том не только в сети , но и в голове 😁
DK
а то докер потом создает сети и ничего не работает :(
DK
в интернетах принято копипастить одно и тоже решение - добавить docker0 в исключения, но.... user definet сетям от этого лучше не станет )))
R
контейнеры на centos 8 если что
AM
контейнеры на centos 8 если что
хм, таки может быть nf_tables из контейнеров не может с netfilter хоста подружиться. Попробуй контейнеры на centos 7 или ubuntu 18&04
DK
контейнеры на centos 8 если что
значит там nftables без legacy