From: Alexey Morsov <samurai@ricom.ru> To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org> Subject: [Sysadmins] OVZ и правила iptables Date: Tue, 1 Apr 2008 13:04:12 +0400 Message-ID: <20080401090411.GA32174@ricom.ru> (raw) [-- Attachment #1: Type: text/plain, Size: 1950 bytes --] Я чго-то недопонимаю видимо с этими OVZ контейнерами. Ситуация: имеется HN (он же роутер) с двумя сетевыми интерфейсами: LAN <--> lan - [ HN ] - inet <--> провайдер LAN - 192.168.130.0/24, lan ip address - 192.168.130.2 inet ip address - 85.21.184.194 На HN подняты VPS сервера. IP адреса VPS-ов в сетке 192.168.1.0/24 Тип интерфейса для VPS venet. в nat таблице POSTROUTING выставлен DNAT с подсеток LAN и VPS на внешний ip (ну нат, как обычно). В этом случае все вроде работает как надо. А теперь самое интересное. Мне нужно -P FORWARD DROP и -P INPUT DROP (т.е. по дефолту INPUT и FORWARD закрыты). Когда я так делаю то все VPS перестают работать с сетью. Делаю им разрешение в FORWARD... и из LAN по адресу 192.168.1.1 к примеру я могу зайти. Но извне ничего не проходит и из самих VPS я не могу достучатся никуда наружу (даже пинг). Что нужно сделать в правилах чтобы VPS контейнеры могли ходить в LAN и в inet, и чтобы пакеты извне на них приходили через SNAT (т.е. обращаются к порту N inet-ip попадают в соотвествующий VPS). SNAT поднят - из локалки доступ идет. -- WBR, Alexey Morsov программист ЗАО "ИК "Риком-Траст" Jabber: samurai@www.fondmarket.ru ALT Linux Team Member * aphlux думает, действительно ли иПУФЙОЗ - это ОБДЕЦОП [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 481 bytes --]
next reply other threads:[~2008-04-01 9:04 UTC|newest] Thread overview: 11+ messages / expand[flat|nested] mbox.gz Atom feed top 2008-04-01 9:04 Alexey Morsov [this message] 2008-04-01 14:02 ` Eugene Prokopiev 2008-04-01 14:04 ` Eugene Prokopiev 2008-04-01 14:18 ` Alexey Morsov 2008-04-01 14:18 ` Alexey Morsov 2008-04-02 6:37 ` Eugene Prokopiev 2008-04-02 7:36 ` Alexey Morsov 2008-04-02 8:06 ` Eugene Prokopiev 2008-04-02 8:43 ` Alexey Morsov 2008-04-02 8:52 ` Eugene Prokopiev 2008-04-09 20:11 ` Aleksey Avdeev
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20080401090411.GA32174@ricom.ru \ --to=samurai@ricom.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git