iptables блокирует больше, чем надо

[vaden]

После обновления панели, на трёх серверах перестали резольвится адреса.
сервера разные - CentOS 6, CentOS 7

при установке на новый сервер с нуля, то же самое.

еще в момент выполнения скрипта установщика, после запуска службы iptables, следом идет ошибка о невозможности скачивания следующего скрипта с сайта vestacp.com, так как адрес не зарезольвился.

Админка работает, сайты работают, по ssh доступ есть, но, из консоли не могу выполнить ping, nslookup , yum и т.д.
Если на сервере есть сайт, который парсит с другого сайта, то он тоже не работает.

единственное решение - отключение службы iptables из админки.
тогда всё работает как надо.

[skurudo]

Очень похоже на баг - https://bugs.vestacp.com/issues/338
Ткните пальцем на вашего хостинг провайдера, кто он?

[one]

Да, проблема на виртуализации OpenVZ. Я тоже вот жду 17ю версию с фиксами. Боюсь сервер перегружать\обновлять. :) Как перегружу так все, доступа к нему нет.

[skurudo]

Да, проблема на виртуализации OpenVZ. Я тоже вот жду 17ю версию с фиксами. Боюсь сервер перегружать\обновлять. :) Как перегружу так все, доступа к нему нет.

Можно попытать хостера на тему ipt_conntrack к примеру, чтобы выявить закономерность хотя бы.

[one]

Знать бы как конкретно пытать.

[skurudo]

Знать бы как конкретно пытать.

Как-то так:

Дорогой суппорт мир вам! Расскажите, пожалуйста, с какими параметрами вы компилируете ядро для виртуалок на OpenVZ? Есть ли там модуль ipt_conntrack? Спрашиваю вас об этом в связи с тем, что возникают сложности при работе с iptables firewall.

[one]

Хммм... Все что ответила ТП данному вопросу:

it is the default kernel that is delivered by OpenVZ

Не многословно.

[vaden]

да, проблема на OpenVZ.
Хостер - FirstVDS

[one]

Хммм... Все что ответила ТП данному вопросу:

it is the default kernel that is delivered by OpenVZ

Не многословно.

Еще ответ от ТП получил. По умолчанию модуль ipt_conntrack включен.

[demonych]

есть ли workaround на данный момент?