* [Sysadmins] OVZ и правила iptables
@ 2008-04-01 9:04 Alexey Morsov
2008-04-01 14:02 ` Eugene Prokopiev
0 siblings, 1 reply; 11+ messages in thread
From: Alexey Morsov @ 2008-04-01 9:04 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1950 bytes --]
Я чго-то недопонимаю видимо с этими OVZ контейнерами.
Ситуация: имеется HN (он же роутер) с двумя сетевыми интерфейсами:
LAN <--> lan - [ HN ] - inet <--> провайдер
LAN - 192.168.130.0/24, lan ip address - 192.168.130.2
inet ip address - 85.21.184.194
На HN подняты VPS сервера. IP адреса VPS-ов в сетке 192.168.1.0/24
Тип интерфейса для VPS venet.
в nat таблице POSTROUTING выставлен DNAT с подсеток LAN и VPS на внешний
ip (ну нат, как обычно). В этом случае все вроде работает как надо.
А теперь самое интересное. Мне нужно -P FORWARD DROP и -P INPUT DROP (т.е.
по дефолту INPUT и FORWARD закрыты).
Когда я так делаю то все VPS перестают работать с сетью. Делаю им
разрешение в FORWARD... и из LAN по адресу 192.168.1.1 к примеру я могу
зайти. Но извне ничего не проходит и из самих VPS я не могу достучатся
никуда наружу (даже пинг).
Что нужно сделать в правилах чтобы VPS контейнеры могли ходить в LAN и в
inet, и чтобы пакеты извне на них приходили через SNAT (т.е. обращаются к
порту N inet-ip попадают в соотвествующий VPS). SNAT поднят - из локалки
доступ идет.
--
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member
* aphlux думает, действительно ли иПУФЙОЗ - это ОБДЕЦОП
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-01 9:04 [Sysadmins] OVZ и правила iptables Alexey Morsov
@ 2008-04-01 14:02 ` Eugene Prokopiev
2008-04-01 14:04 ` Eugene Prokopiev
2008-04-01 14:18 ` Alexey Morsov
0 siblings, 2 replies; 11+ messages in thread
From: Eugene Prokopiev @ 2008-04-01 14:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Интерфейсу venet0 в HN адрес присвоен? Если его нет, то в iptables/NAT
на venet наблюдается миллион глюков, которые даже диагностировать
неохота.
Сейчас только пришла в голову мысль, что может и пугающие всех
начинающих разбираться с OpenVZ машруты с участием сети 192.0.2.0/24 в
VE были бы не сильно нужны, если бы OpenVZ каким-то образом пребовал
наличия адреса на интерфейсе venet0?
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-01 14:02 ` Eugene Prokopiev
@ 2008-04-01 14:04 ` Eugene Prokopiev
2008-04-01 14:18 ` Alexey Morsov
2008-04-01 14:18 ` Alexey Morsov
1 sibling, 1 reply; 11+ messages in thread
From: Eugene Prokopiev @ 2008-04-01 14:04 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Интерфейсу venet0 в HN адрес присвоен? Если его нет, то в iptables/NAT
> на venet наблюдается миллион глюков, которые даже диагностировать
> неохота.
Напомню, на всякий случай - https://bugzilla.altlinux.org/show_bug.cgi?id=13148
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-01 14:04 ` Eugene Prokopiev
@ 2008-04-01 14:18 ` Alexey Morsov
0 siblings, 0 replies; 11+ messages in thread
From: Alexey Morsov @ 2008-04-01 14:18 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 760 bytes --]
On Tue, Apr 01, 2008 at 06:04:40PM +0400, Eugene Prokopiev wrote:
> Напомню, на всякий случай - https://bugzilla.altlinux.org/show_bug.cgi?id=13148
Эээ.. да venet у меня поднимается вроде сам, и до установки полиси на
FORWARD в DROP все ходит...
--
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member
> > PS: и вообще -- у сестрёнки получается, а у тебя -- нет. :-)
> ну везет тебе, а у меня такой сестренки нет, чтобы на помощь
> позвать :-)
Заведи. :-)
-- mike in community@
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-01 14:02 ` Eugene Prokopiev
2008-04-01 14:04 ` Eugene Prokopiev
@ 2008-04-01 14:18 ` Alexey Morsov
2008-04-02 6:37 ` Eugene Prokopiev
1 sibling, 1 reply; 11+ messages in thread
From: Alexey Morsov @ 2008-04-01 14:18 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 934 bytes --]
On Tue, Apr 01, 2008 at 06:02:55PM +0400, Eugene Prokopiev wrote:
> Интерфейсу venet0 в HN адрес присвоен? Если его нет, то в iptables/NAT
А... ему разве надо? мне так казалось что HN сам их бриджит
> на venet наблюдается миллион глюков, которые даже диагностировать
> неохота.
>
--
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member
Пустые пароли не дает создавать Альтов установщик системы.
Если новый тоже не будет создавать беспарольных пользователей - точно
буду кидаться яйцами. Окаменевшими, от динозавров.
-- slava in community@
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-01 14:18 ` Alexey Morsov
@ 2008-04-02 6:37 ` Eugene Prokopiev
2008-04-02 7:36 ` Alexey Morsov
0 siblings, 1 reply; 11+ messages in thread
From: Eugene Prokopiev @ 2008-04-02 6:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> > Интерфейсу venet0 в HN адрес присвоен?
>
> А... ему разве надо? мне так казалось что HN сам их бриджит
Ну вроде да и даже параметр VE_ROUTE_SRC_DEV есть в vz.conf, используя
который можно, наверное, более успешно решать проблемы с iptables/NAT
в HW с более чем одним физическим интерфейсом и venet0 без адреса.
Но мне удобнее, чтобы venet0 имел адрес - проще понимать, что происходит.
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-02 6:37 ` Eugene Prokopiev
@ 2008-04-02 7:36 ` Alexey Morsov
2008-04-02 8:06 ` Eugene Prokopiev
0 siblings, 1 reply; 11+ messages in thread
From: Alexey Morsov @ 2008-04-02 7:36 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1281 bytes --]
On Wed, Apr 02, 2008 at 10:37:18AM +0400, Eugene Prokopiev wrote:
> Ну вроде да и даже параметр VE_ROUTE_SRC_DEV есть в vz.conf, используя
> который можно, наверное, более успешно решать проблемы с iptables/NAT
> в HW с более чем одним физическим интерфейсом и venet0 без адреса.
>
> Но мне удобнее, чтобы venet0 имел адрес - проще понимать, что происходит.
Ну типа получаем еще одну сетевую карту смотрящую в еще одну сетку (пусть
и виртуальную)...
А как лучше его назначать (чистый ALS4.0 с апдейтами)
--
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member
> Я надеюсь в эти выходные попасть в Москву. Хотелось бы зайти в
> офис ALT в гости - пускают? :) Есть ли шансы там кого-нибудь
> встретить в выходные?
Cудя по рассылке - да.
-- homyakov in devel@
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-02 7:36 ` Alexey Morsov
@ 2008-04-02 8:06 ` Eugene Prokopiev
2008-04-02 8:43 ` Alexey Morsov
0 siblings, 1 reply; 11+ messages in thread
From: Eugene Prokopiev @ 2008-04-02 8:06 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> А как лучше его назначать (чистый ALS4.0 с апдейтами)
Я ссылку на баг приводил
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-02 8:06 ` Eugene Prokopiev
@ 2008-04-02 8:43 ` Alexey Morsov
2008-04-02 8:52 ` Eugene Prokopiev
0 siblings, 1 reply; 11+ messages in thread
From: Alexey Morsov @ 2008-04-02 8:43 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 747 bytes --]
On Wed, Apr 02, 2008 at 12:06:31PM +0400, Eugene Prokopiev wrote:
> > А как лучше его назначать (чистый ALS4.0 с апдейтами)
>
> Я ссылку на баг приводил
Я ее не понял (т.е. так и не понял причем там veth и модули). Не силен.
А без патча это можно ?
--
WBR,
Alexey Morsov
программист ЗАО "ИК "Риком-Траст"
Jabber: samurai@www.fondmarket.ru
ALT Linux Team Member
<Aristarh> vsu: Короче инсталлятор для надежности должен ставить тот же загрузчик, через который грузилось ядро инсталлятора
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-02 8:43 ` Alexey Morsov
@ 2008-04-02 8:52 ` Eugene Prokopiev
2008-04-09 20:11 ` Aleksey Avdeev
0 siblings, 1 reply; 11+ messages in thread
From: Eugene Prokopiev @ 2008-04-02 8:52 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> > > А как лучше его назначать (чистый ALS4.0 с апдейтами)
> >
> > Я ссылку на баг приводил
>
> Я ее не понял (т.е. так и не понял причем там veth и модули). Не силен.
> А без патча это можно ?
создайте файл /etc/net/options.d/80-vz с таким содержимым:
echo $IFGROUP[0]
IFGROUP[0]="$IFGROUP[0] venet"
echo $IFGROUP[0]
После этого можно назначить адрес средствами etcnet, вот только при
рестарте сервиса vz адрес пропадает снова :(
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OVZ и правила iptables
2008-04-02 8:52 ` Eugene Prokopiev
@ 2008-04-09 20:11 ` Aleksey Avdeev
0 siblings, 0 replies; 11+ messages in thread
From: Aleksey Avdeev @ 2008-04-09 20:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 833 bytes --]
Eugene Prokopiev пишет:
>> > > А как лучше его назначать (чистый ALS4.0 с апдейтами)
>> >
>> > Я ссылку на баг приводил
>>
>> Я ее не понял (т.е. так и не понял причем там veth и модули). Не силен.
>> А без патча это можно ?
>
> создайте файл /etc/net/options.d/80-vz с таким содержимым:
>
> echo $IFGROUP[0]
> IFGROUP[0]="$IFGROUP[0] venet"
> echo $IFGROUP[0]
>
> После этого можно назначить адрес средствами etcnet, вот только при
> рестарте сервиса vz адрес пропадает снова :(
В vzctl-3.0.22-alt2.1.src.rpm
(<http://git.altlinux.org/people/solo/packages/?p=vzctl.git;a=shortlog;h=solo/srpms>)
залитом в incoming/Daedalus я это поправил: дёргаю ifup/ifdown при
старте/останове сервиса.
PS: Подробности см. <https://bugzilla.altlinux.org/show_bug.cgi?id=13148>
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2008-04-09 20:11 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-04-01 9:04 [Sysadmins] OVZ и правила iptables Alexey Morsov
2008-04-01 14:02 ` Eugene Prokopiev
2008-04-01 14:04 ` Eugene Prokopiev
2008-04-01 14:18 ` Alexey Morsov
2008-04-01 14:18 ` Alexey Morsov
2008-04-02 6:37 ` Eugene Prokopiev
2008-04-02 7:36 ` Alexey Morsov
2008-04-02 8:06 ` Eugene Prokopiev
2008-04-02 8:43 ` Alexey Morsov
2008-04-02 8:52 ` Eugene Prokopiev
2008-04-09 20:11 ` Aleksey Avdeev
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git