IPTables CePh Monitor Правила странного поведения
Настоящая проблема в том, что люди не понимают, как это работает. Например, в своем вопросе вы упоминаете, что три скрипта - это все, что необходимо, и большинство ответов здесь касаются всего / любого дополнительного обслуживания, которое потребуется для его работы, но правда в том, что вам эти скрипты не нужны. или любая дополнительная работа.
Все, что вам нужно, это привязать монтирование ESP - или где бы вы ни хотели сохранить ядро - поверх / boot , что вы можете сделать с помощью одной строки в / etc / fstab ]. Сделайте это, и все текущие сценарии обновления ядра просто продолжат работать.
Мой файл `/ etc / fstab 'выглядит так:
LABEL=ESP /esp vfat defaults 0 2
#
#^ i like a separate mount point - not necessary though
#
/esp/EFI/arch_root /boot none bind,defaults 0 2
#
#^ i keep separate installations in separate directories
#
Тем не менее, здесь есть хороший момент, касающийся настроек, зависящих от производителя. UEFI явно не указывает интерфейс для меню загрузки. Это доступно и не будет одинаковым для разных машин. Это раздражает, но факт.
Итак, в то время как загрузчик , такой как grub , на самом деле выполняет только больше работы, приложение меню, такое как rEFInd, выравнивает различия и упрощает все.
Я не включил отслеживание соединений, поэтому, когда монитор пытался связаться с другими мониторами, ответы не пропускались через брандмауэр. Я добавил следующее правило, чтобы решить проблему:
iptables -I INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Спасибо A.B. за предложение обратить внимание на межсетевые экраны с отслеживанием состояния.