Как VPS от firstvds настроить iptables, ругается на COMMIT?

Question

[Tiamon]

Сабж.
Пытался настроить простейшие правила:

*mangle
:PREROUTING ACCEPT [7:364]
:INPUT ACCEPT [7:364]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
*filter
:OUTPUT ACCEPT [0:0]
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
-A INPUT ! -i venet0:0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 22,80,443,10000
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
COMMIT

И неизменно получал ошибку с указанием последней строки

iptables-restore: line 39 failed

Начал подозревать проблему на стороне хоста, работа идет под openvz и возможно нет "conntrack-а"

Задал вопрос в службу поддержки и получил ответ:

От: Алексей Атаманов - 2016-07-09 04:53:56
Здравствуйте, да, ошибка возникает потому что модуль conntrack не подключен для виртуальных серверов.

--
С уважением,
Атаманов Алексей,
Консультант службы технической поддержки FirstVDS

От: - 2016-07-09 04:55:41
И какие варианты решения? )

От: Алексей Атаманов - 2016-07-09 05:02:31
Используйте KVM-виртуализацию

--
С уважением,
Атаманов Алексей,
Консультант службы технической поддержки FirstVDS

Собственно, то что хостеру пофигу на проблемы клиента и эти ограничения ни где не задокументированы понятно и бог им судья.

Но заниматься переносом сервере не хочется. Есть ли пути решения этой проблемы без переноса VDS на KVM?

Comments

[landergate]

Ответ, который помог, можно отметить кнопкой "Решение". =)

Answer 1

[ComodoHacker]

Если на VPS нельзя нормально настроить файрвол, зачем нужна такая VPS? Они не заслуживают ваших денег.

На всех VPS под OpenVZ, которыми я пользовался (firstvds в их число не входит), conntrack был. Я даже не могу придумать причину, зачем его отключать. Может это развод типа "перейдите на более дорогой тариф, там все работает"?

Да, еще совет. Вместо файла правил пишите скрипт с командами iptables. Так вам не придется гадать, где именно проблема.

P.S. Нашел на их форуме: forum.firstvds.ru/viewtopic.php?f=3&t=10759

Re: iptables включите пожалуйста conntrack и/или state

Сообщение ls » Вт мар 22, 2016 3:06 pm
Вы можете заказать сервер на виртуализации KVM где нет подобных ограничений,
на виртуализации OpenVZ это отключено и не будет включаться по причине того, что один клиент с большим количеством подключений будет ронять головной сервер

Это позор. Они не в курсе про nf_conntrack_max.

Comments

[Tiamon]

Вот тоже интересно, надо статью на Хабре написать специально для этой компании, как включить nf_conntrack_max. Интересна реакция сообщества и заставит ли процент потерянных клиентов научится работать с OpenVZ. Загаловок типа, "Внимание на VDS firstvds не работают iptables. Давайте научим пользоваться conntrack."

[ComodoHacker]

Напишите. Спросите. У них есть блог на Хабре, правда уже больше года, как мертвый.

Заголовок все же стоит укоротить, по-моему. :)

[Mystray]

Разве можно указывать nf_conntrack_max для индивидуальной VM?

[ComodoHacker]

Mystray: А разве нет? Да и не в этом дело, можно ограничить на хосте, чтобы он не падал.

Answer 2

[Пума Тайланд]

Никак это же опенвз

Answer 3

[Влад Животнев]

KVM виртуалку арендуйте