Openvz y Plesk Firewall: Unknown error 4294967295

openvz_logo

Bonito error. Afortunadamente, la gente de OpenVZ, Virtuozzo y los propios miembros de la secta oculta de Plesk han documentado este problema. El mismo reside en que, una vez logueados dentro de nuestro panel de Plesk, nuestro firewall nos mira malicioso y nos devuelve esta perla:

safeact: safeact: /usr/local/psa/var/modules/firewall/
firewall-new.sh failed: iptables: Unknown error 4294967295

En mi caso, el problema estaba ligado a la carga de unos módulos concretos en el contenedor, para arreglarlo, hemos de editar dos archivos que definen los módulos que son cargados en el contenedor. Pero puede que no sea tu problema, o al menos, que no sea igual. Digo esto porque leyendo un kb de parallels, me di cuenta que, cuando estamos en el panel de editar las reglas, hay un momento en el que podemos clickar el “Previsualizar”, que nos muestra un script que copiado y pegado en nuestro sistema ejecutará las mismas reglas que nosotros hemos configurado en el panel. Tomamos nota. De todas formas, al ejecutar todo el chorizo (como diría Daniel de Comvive), nos da el mismo error:

iptables: Unknown error 4294967295

Yo simplemente quería limitar el acceso por ICMP a una determinada máquina, por un asunto que ya explicaré cuando lo tenga más claro. Como digo, el tema es cargar unos módulos concretos que por defecto, lo más seguro, es que no tengamos cargados en las virtuales. A continuación, los pasos:

1. Accedemos al nodo
2. Editamos /etc/sysconfig/iptables-config

IPTABLES_MODULES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack
ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS
ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp
ip_conntrack_netbios_ns"

3. Editamos /etc/sysconfig/vz

IPTABLES="ipt_REJECT ipt_tos ipt_TOS ipt_LOG ip_conntrack
ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS
ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ip_nat_ftp"

4. Reiniciamos el servicio VZ

# /etc/init.d/vz stop
# /etc/init.d/iptables restart
# /etc/init.d/vz start

5. Probamos ahora de editar las reglas del firewall a través del panel, o más fácil con un sh con el resultado del Previsualizar que os comentaba antes.

Links

Leave a Reply

Your email address will not be published. Required fields are marked *