From: Alexey Morsov <samurai@ricom.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: [Sysadmins] OVZ и правила iptables
Date: Tue, 1 Apr 2008 13:04:12 +0400
Message-ID: <20080401090411.GA32174@ricom.ru> (raw)
[-- Attachment #1: Type: text/plain, Size: 1950 bytes --]
Я чго-то недопонимаю видимо с этими OVZ контейнерами.
Ситуация: имеется HN (он же роутер) с двумя сетевыми интерфейсами:
LAN <--> lan - [ HN ] - inet <--> провайдер
LAN - 192.168.130.0/24, lan ip address - 192.168.130.2
inet ip address - 85.21.184.194
На HN подняты VPS сервера. IP адреса VPS-ов в сетке 192.168.1.0/24
Тип интерфейса для VPS venet.
в nat таблице POSTROUTING выставлен DNAT с подсеток LAN и VPS на внешний
ip (ну нат, как обычно). В этом случае все вроде работает как надо.
А теперь самое интересное. Мне нужно -P FORWARD DROP и -P INPUT DROP (т.е.
по дефолту INPUT и FORWARD закрыты).
Когда я так делаю то все VPS перестают работать с сетью. Делаю им
разрешение в FORWARD... и из LAN по адресу 192.168.1.1 к примеру я могу
зайти. Но извне ничего не проходит и из самих VPS я не могу достучатся
никуда наружу (даже пинг).
Что нужно сделать в правилах чтобы VPS контейнеры могли ходить в LAN и в
inet, и чтобы пакеты извне на них приходили через SNAT (т.е. обращаются к
порту N inet-ip попадают в соотвествующий VPS). SNAT поднят - из локалки
доступ идет.
--
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member
* aphlux думает, действительно ли иПУФЙОЗ - это ОБДЕЦОП
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
next reply other threads:[~2008-04-01 9:04 UTC|newest]
Thread overview: 11+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-04-01 9:04 Alexey Morsov [this message]
2008-04-01 14:02 ` Eugene Prokopiev
2008-04-01 14:04 ` Eugene Prokopiev
2008-04-01 14:18 ` Alexey Morsov
2008-04-01 14:18 ` Alexey Morsov
2008-04-02 6:37 ` Eugene Prokopiev
2008-04-02 7:36 ` Alexey Morsov
2008-04-02 8:06 ` Eugene Prokopiev
2008-04-02 8:43 ` Alexey Morsov
2008-04-02 8:52 ` Eugene Prokopiev
2008-04-09 20:11 ` Aleksey Avdeev
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20080401090411.GA32174@ricom.ru \
--to=samurai@ricom.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git