[Sysadmins] OVZ и правила iptables

[Sysadmins] OVZ и правила iptables

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 1950 bytes --]

Я чго-то недопонимаю видимо с этими OVZ контейнерами.

Ситуация: имеется HN (он же роутер) с двумя сетевыми интерфейсами:

LAN <-->  lan - [ HN ] - inet  <--> провайдер

LAN - 192.168.130.0/24, lan ip address - 192.168.130.2
inet ip address - 85.21.184.194

На HN подняты VPS сервера. IP адреса VPS-ов в сетке 192.168.1.0/24
Тип интерфейса для VPS venet.

в nat таблице POSTROUTING выставлен DNAT с подсеток LAN и VPS на внешний
ip (ну нат, как обычно). В этом случае все вроде работает как надо.
А теперь самое интересное. Мне нужно -P FORWARD DROP и -P INPUT DROP (т.е.
по дефолту INPUT и FORWARD закрыты).
Когда я так делаю то все VPS перестают работать с сетью. Делаю им
разрешение в FORWARD... и из LAN по адресу 192.168.1.1 к примеру я могу
зайти. Но извне ничего не проходит и из самих VPS я не могу достучатся
никуда наружу (даже пинг).


Что нужно сделать в правилах чтобы VPS контейнеры могли ходить в LAN и в
inet, и чтобы пакеты извне на них приходили через SNAT (т.е. обращаются к
порту N inet-ip попадают в соотвествующий VPS). SNAT поднят - из локалки
доступ идет.




-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

 * aphlux думает, действительно ли иПУФЙОЗ - это ОБДЕЦОП

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] OVZ и правила iptables

[Eugene Prokopiev]

Интерфейсу venet0 в HN адрес присвоен? Если его нет, то в iptables/NAT
на venet наблюдается миллион глюков, которые даже диагностировать
неохота.

Сейчас только пришла в голову мысль, что может и пугающие всех
начинающих разбираться с OpenVZ машруты с участием сети 192.0.2.0/24 в
VE были бы не сильно нужны, если бы OpenVZ каким-то образом пребовал
наличия адреса на интерфейсе venet0?

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] OVZ и правила iptables

[Eugene Prokopiev]

>  Интерфейсу venet0 в HN адрес присвоен? Если его нет, то в iptables/NAT
>  на venet наблюдается миллион глюков, которые даже диагностировать
>  неохота.

Напомню, на всякий случай - https://bugzilla.altlinux.org/show_bug.cgi?id=13148

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] OVZ и правила iptables

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 760 bytes --]

On Tue, Apr 01, 2008 at 06:04:40PM +0400, Eugene Prokopiev wrote:
> Напомню, на всякий случай - https://bugzilla.altlinux.org/show_bug.cgi?id=13148
Эээ.. да venet у меня поднимается вроде сам, и до установки полиси на
FORWARD в DROP все ходит... 


-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

> > PS: и вообще -- у сестрёнки получается, а у тебя -- нет. :-)
> ну везет тебе, а у меня такой сестренки нет, чтобы на помощь
> позвать :-)
Заведи. :-)
		-- mike in community@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] OVZ и правила iptables

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 934 bytes --]

On Tue, Apr 01, 2008 at 06:02:55PM +0400, Eugene Prokopiev wrote:
> Интерфейсу venet0 в HN адрес присвоен? Если его нет, то в iptables/NAT
А... ему разве надо? мне так казалось что HN сам их бриджит
> на venet наблюдается миллион глюков, которые даже диагностировать
> неохота.
> 

-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

Пустые пароли не дает создавать Альтов установщик системы.
Если новый тоже не будет создавать беспарольных пользователей - точно
буду кидаться яйцами. Окаменевшими, от динозавров.
		-- slava in community@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] OVZ и правила iptables

[Eugene Prokopiev]

>  > Интерфейсу venet0 в HN адрес присвоен?
>
> А... ему разве надо? мне так казалось что HN сам их бриджит

Ну вроде да и даже параметр VE_ROUTE_SRC_DEV есть в vz.conf, используя
который можно, наверное, более успешно решать проблемы с iptables/NAT
в HW с более чем одним физическим интерфейсом и venet0 без адреса.

Но мне удобнее, чтобы venet0 имел адрес - проще понимать, что происходит.

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] OVZ и правила iptables

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 1281 bytes --]

On Wed, Apr 02, 2008 at 10:37:18AM +0400, Eugene Prokopiev wrote:
> Ну вроде да и даже параметр VE_ROUTE_SRC_DEV есть в vz.conf, используя
> который можно, наверное, более успешно решать проблемы с iptables/NAT
> в HW с более чем одним физическим интерфейсом и venet0 без адреса.
> 
> Но мне удобнее, чтобы venet0 имел адрес - проще понимать, что происходит.
Ну типа получаем еще одну сетевую карту смотрящую в еще одну сетку (пусть
и виртуальную)...
А как лучше его назначать (чистый ALS4.0 с апдейтами)

-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

> Я надеюсь в эти выходные попасть в Москву. Хотелось бы зайти в
> офис ALT в гости - пускают? :) Есть ли шансы там кого-нибудь
> встретить в выходные?
Cудя по рассылке - да.
		-- homyakov in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] OVZ и правила iptables

[Eugene Prokopiev]

>  А как лучше его назначать (чистый ALS4.0 с апдейтами)

Я ссылку на баг приводил

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] OVZ и правила iptables

[Alexey Morsov]

[-- Attachment #1: Type: text/plain, Size: 747 bytes --]

On Wed, Apr 02, 2008 at 12:06:31PM +0400, Eugene Prokopiev wrote:
> >  А как лучше его назначать (чистый ALS4.0 с апдейтами)
> 
> Я ссылку на баг приводил
Я ее не понял (т.е. так и не понял причем там veth и модули). Не силен. 
А без патча это можно ?

-- 
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member

<Aristarh> vsu: Короче инсталлятор для надежности должен ставить тот же загрузчик, через который грузилось ядро инсталлятора

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] OVZ и правила iptables

[Eugene Prokopiev]

>  > >  А как лучше его назначать (чистый ALS4.0 с апдейтами)
>  >
>  > Я ссылку на баг приводил
>
> Я ее не понял (т.е. так и не понял причем там veth и модули). Не силен.
>  А без патча это можно ?

создайте файл /etc/net/options.d/80-vz с таким содержимым:

echo $IFGROUP[0]
IFGROUP[0]="$IFGROUP[0] venet"
echo $IFGROUP[0]

После этого можно назначить адрес средствами etcnet, вот только при
рестарте сервиса vz адрес пропадает снова :(

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] OVZ и правила iptables

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 833 bytes --]

Eugene Prokopiev пишет:
>>  > >  А как лучше его назначать (чистый ALS4.0 с апдейтами)
>>  >
>>  > Я ссылку на баг приводил
>>
>> Я ее не понял (т.е. так и не понял причем там veth и модули). Не силен.
>>  А без патча это можно ?
> 
> создайте файл /etc/net/options.d/80-vz с таким содержимым:
> 
> echo $IFGROUP[0]
> IFGROUP[0]="$IFGROUP[0] venet"
> echo $IFGROUP[0]
> 
> После этого можно назначить адрес средствами etcnet, вот только при
> рестарте сервиса vz адрес пропадает снова :(

  В vzctl-3.0.22-alt2.1.src.rpm
(<http://git.altlinux.org/people/solo/packages/?p=vzctl.git;a=shortlog;h=solo/srpms>)
залитом в incoming/Daedalus я это поправил: дёргаю ifup/ifdown при
старте/останове сервиса.

PS: Подробности см. <https://bugzilla.altlinux.org/show_bug.cgi?id=13148>

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]