do not use ctstate in corosync rule
authorDietmar Maurer <dietmar@proxmox.com>
Wed, 21 May 2014 04:00:11 +0000 (06:00 +0200)
committerDietmar Maurer <dietmar@proxmox.com>
Wed, 21 May 2014 04:01:17 +0000 (06:01 +0200)
That is not necessary, because we only reach that rule if ctstate is NEW.

src/PVE/Firewall.pm

index eea47f2..c80664f 100644 (file)
@@ -1712,7 +1712,7 @@ sub enable_host_firewall {
        ruleset_addrule($ruleset, $chain, "-s $clusternet -p tcp --dport 22 -j $accept_action");  # SSH
  
        # corosync
-       my $corosync_rule = "-p udp -m conntrack --ctstate NEW --dport 5404:5405 -j $accept_action";
+       my $corosync_rule = "-p udp --dport 5404:5405 -j $accept_action";
        ruleset_addrule($ruleset, $chain, "-s $clusternet -d $clusternet $corosync_rule");
        ruleset_addrule($ruleset, $chain, "-s $clusternet -m addrtype --dst-type MULTICAST $corosync_rule");
     }
@@ -1753,7 +1753,7 @@ sub enable_host_firewall {
        ruleset_addrule($ruleset, $chain, "-d $clusternet -p tcp --dport 5900:5999 -j $accept_action");  # PVE VNC Console 
        ruleset_addrule($ruleset, $chain, "-d $clusternet -p tcp --dport 3128 -j $accept_action");  # SPICE Proxy
  
-       my $corosync_rule = "-p udp -m conntrack --ctstate NEW --dport 5404:5405 -j $accept_action";
+       my $corosync_rule = "-p udp --dport 5404:5405 -j $accept_action";
        ruleset_addrule($ruleset, $chain, "-d $clusternet $corosync_rule");
        ruleset_addrule($ruleset, $chain, "-m addrtype --dst-type MULTICAST $corosync_rule");
     }