* [sisyphus] посоветуйте конфигурацию vserver'ов
@ 2004-12-24 19:27 sergey ivanov
2004-12-24 23:22 ` sergey ivanov
2004-12-27 9:05 ` Anton Farygin
0 siblings, 2 replies; 4+ messages in thread
From: sergey ivanov @ 2004-12-24 19:27 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Всем привет.
Я собрался и попробовал vserver из Сизифа. Перенёс в него FTP сервер.
Впечатления хорошие. Однако очень хотелось бы узнать, какие бывают типовые
случаи использования vserver'ов. Поэтому появилась масса вопросов.
Например, как делать маленький vserver? Я просто apt-get'ом пытался
удалять пакеты в нём, и в конце остался 191 пакет. Как правильно
построить vserver чтобы в нём был только ftp-server, или ftp и ssh?
У меня на компьютере две сетевых карты, одна имеет доступный снаружи
IP, к другой подсоединены несколько компьютеров соседских. FTP я
привязал к алиасу на внутренней сети, и перенаправляю туда наружные
соединения на ftp порт при помощи iptables. А вот как пересадить squid в
такой же vserver, сохранив за ним функции прозрачного прокси, я не
понимаю. Подскажите, пожалуйста. А то внутрь squid слушает, а наружу
выйти не может.
Говорят, что на сервере, открытом в интернет, лучше не иметь
компиляторов. Значит, их тоже лучше держать в vserver'е?
А можно наоборот, - нулевой контекст, с которого можно управлять
всеми vserver'ами, оставить изолированным от интернета, а все шлюзовые
функции (bind, dhcpd, iptables, squid, postfix, sshd, dovecot...)
распихать по разным vserver'ам? Про dhcpd написано в vserver'ской
документации, что его можно ставить в vserver, и какие для этого
хитрости нужны.
А xorg-x11 должен быть в нулевом контексте, или его тоже можно в
виртуальные сервера?
С уважением,
Сергей.
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [sisyphus] посоветуйте конфигурацию vserver'ов
2004-12-24 19:27 [sisyphus] посоветуйте конфигурацию vserver'ов sergey ivanov
@ 2004-12-24 23:22 ` sergey ivanov
2004-12-29 16:08 ` Sergey Ivanov
2004-12-27 9:05 ` Anton Farygin
1 sibling, 1 reply; 4+ messages in thread
From: sergey ivanov @ 2004-12-24 23:22 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
sergey ivanov wrote:
> У меня на компьютере две сетевых карты, одна имеет доступный
> снаружи IP, к другой подсоединены несколько компьютеров соседских. FTP
> я привязал к алиасу на внутренней сети, и перенаправляю туда наружные
> соединения на ftp порт при помощи iptables. А вот как пересадить squid
> в такой же vserver, сохранив за ним функции прозрачного прокси, я не
> понимаю. Подскажите, пожалуйста. А то внутрь squid слушает, а наружу
> выйти не может.
Уточняю вопрос. В локальной сети (eth1) я могу привязать vserver к
адресу как захочу. Зато наружу (eth0) имею динамический IP, выдаваемый
мне провайдером. Если я его вписываю в конфигурацию vserver'а, то squid
в этом vserver'е работает. Если я оставляю eth0:0.0.0.0 в конфигурации
vserver'а, то squid наружу выйти не может. Неужели я должен писать
скрипт, который бы при каждом изменении выданного мне динамического IP
адреса корректировал бы конфигурации vserver'ов и их перезапускал?
Сергей
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [sisyphus] посоветуйте конфигурацию vserver'ов
2004-12-24 19:27 [sisyphus] посоветуйте конфигурацию vserver'ов sergey ivanov
2004-12-24 23:22 ` sergey ivanov
@ 2004-12-27 9:05 ` Anton Farygin
1 sibling, 0 replies; 4+ messages in thread
From: Anton Farygin @ 2004-12-27 9:05 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
sergey ivanov wrote:
> Всем привет.
> Я собрался и попробовал vserver из Сизифа. Перенёс в него FTP сервер.
> Впечатления хорошие. Однако очень хотелось бы узнать, какие бывают
> типовые
> случаи использования vserver'ов. Поэтому появилась масса вопросов.
> Например, как делать маленький vserver? Я просто apt-get'ом пытался
> удалять пакеты в нём, и в конце остался 191 пакет. Как правильно
> построить vserver чтобы в нём был только ftp-server, или ftp и ssh?
Можно попробовать взять separator и с его помощью сделать vserver.
Rgds,
Rider
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [sisyphus] посоветуйте конфигурацию vserver'ов
2004-12-24 23:22 ` sergey ivanov
@ 2004-12-29 16:08 ` Sergey Ivanov
0 siblings, 0 replies; 4+ messages in thread
From: Sergey Ivanov @ 2004-12-29 16:08 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
[-- Attachment #1: Type: text/plain, Size: 2274 bytes --]
sergey ivanov wrote:
> sergey ivanov wrote:
>
>> У меня на компьютере две сетевых карты, одна имеет доступный
>> снаружи IP, к другой подсоединены несколько компьютеров соседских. FTP
>> я привязал к алиасу на внутренней сети, и перенаправляю туда наружные
>> соединения на ftp порт при помощи iptables. ...
Констатация факта: после попыток настроить squid в vserver'е получил
следующие симптомы:
- в vserver'е squid слушал на 192.168.10.23:3128, (eth1) обращался
наружу в интернет, не дожидался ответа, и отдавал клиентам сообщение
красиво по squid'овски оформелнное сообщение о таймауте при обращении к
сайту, напр. yahoo.com, в то время как после vserver enter squid я мог
пинговать yahoo.com и получать оттуда ответы на пинги.
- после остановки vserver'а со squid'ом основной squid может быть
запускаем только на порт на интерфейсе 69.143.81.80 (динамически
выданном мне провайдером) и поэтому всё что раньше было настроено для
прозрачного проксирования, то есть правило
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
перестало работать так как перенаправляет на порт 3128 адресе
192.168.10.1 на котором загружен vserver context 0.
- так что вернулся к squid'у без всяких vserver'ностей, не справившись с
этой проблемой.
- после этого, причём не сразу, выяснил, что ftp в vserver'е перестал
отдавать файлы или листинги. То-есть, аутентификацию нахорошо проводит,
пароли спрашивает и если неправильный пароль то его отвергает, а если
правильный то принимает. А потом хоть в active, хоть в passive режиме не
может ничего отдать клиенту.
Так что общий у меня вывод такой, что, прежде чем пытаться что-нибудь
делать с vserver'ами, нужно было хорошо выучить advanced linux routing,
и средства отладки сети иметь на своём компьютере поставленные и освоенные.
Так как не имею возможности изучать как пользоваться (кстати, чем:
ethereal?) средствами отладки routing'а, прихожу к выводу что по крайней
мере мне пытаться заниматься vserver'ами не по зубам. Слишком высокая
ступенька.
Хотя был бы рад, если бы кто-то посоветовал, где можно почтитать про
успешные опыты внедрения vserver'ов на уровне достаточно подробном для
того, чтобы его мог повторить человек примерно моего уровня понимания
протоколов.
Сергей.
[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 2551 bytes --]
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2004-12-29 16:08 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-12-24 19:27 [sisyphus] посоветуйте конфигурацию vserver'ов sergey ivanov
2004-12-24 23:22 ` sergey ivanov
2004-12-29 16:08 ` Sergey Ivanov
2004-12-27 9:05 ` Anton Farygin
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git