October 1st, 2006

OpenVZ bug?

k001, кажись, я нашел баг, токма не уверен, что это не мои руки.

Дано: недавно обновившееся ядро 2.6.8-022stab078.21 (в пятницу вроде). И сервер multik.org, в iptables которого запиханы следующие правила:

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 600 --hitcount 4 --rttl --name SSH --rsource -j DROP

Суть их проста - ежели какой-нить перец попытается законнектиться к ssh более 3 раз, то его в DROP на 10 минут. Подробнее - man iptables. В общем, мы тут давно это обсуждали.

Эти правила шикарно помогают от переборщиков паролей. Моих они всё равно не найдут, а логи засирают.

Вот. В общем, после апгрейда ядра iptables_filter просто блокирует 22й порт нах, не взирая ни на что.

2.6.9-023stab016.2 и *devel* этим проблемам пока не подвержен ...