* Re: [Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ
@ 2008-11-13 11:07 ` Андрей Новосёлов
2008-11-13 11:21 ` Yuriy Kashirin
2008-11-13 11:24 ` Anton Kvashin
2 siblings, 0 replies; 5+ messages in thread
From: Андрей Новосёлов @ 2008-11-13 11:07 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Thursday 13 November 2008 12:53:57 Serg Byalko wrote:
> Здравствуйте! Ситуация такая:
> AltLinux Server 4.1
А что, уже вышел??? !!! Что-то я пропустил. Надо же , стоит
недельку на зеркала не позаглядывать - и пропустишь самое
важное.
--
С уважением, Андрей Новосёлов.
Registered linux user № 282220
Ubuntu User number is № 20998
Jabber UID gnostik_at_jabber.ru
Google talk ksynolog_at_gmail.com
ICQ UIN 162278208
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ
2008-11-13 11:07 ` [Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ Андрей Новосёлов
@ 2008-11-13 11:21 ` Yuriy Kashirin
2008-11-13 15:25 ` Serg Byalko
2008-11-13 11:24 ` Anton Kvashin
2 siblings, 1 reply; 5+ messages in thread
From: Yuriy Kashirin @ 2008-11-13 11:21 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On 13 ноября 2008, Serg Byalko wrote:
> Здравствуйте! Ситуация такая:
> AltLinux Server 4.1
> внешний IP eth0 xxx.xxx.xxx.xxx
> внешний IP eth1 yyy.yyy.yyy.yyy
>
> котнейнеры с внутр. адресами
> bind - 172.16.0.100 - открыт порт 53 (DNS)
> 222 - 172.16.0.113
>
> на родительской машине в ipconfig
> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p udp -m udp --dport 53
> -j DNAT --to-destination 172.16.0.100:53
> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --dport 53
> -j DNAT --to-destination 172.16.0.100:53
>
> Если я в контейнере 222 пытаюсь делать nslookup www.ru 172.16.0.113
> - всё ок А если делаю nslookup www.ru xxx.xxx.xxx.xxx , то
> контейнер молчит :((
Все правильно, проброс портов будет работать только если заходить на
53 порт адреса xxx.xxx.xxx.xxx снаружи, а не из внутренней подсети.
>
> ВНИМАНИЕ ВОПРОС :)
>
> как мне необходимо нстроить файервол чтобы из контейнера 222 можно
> было подключться к порту другого контейнера, обращаясь к
> xxx.xxx.xxx.xxx и используюя правило проброса порта из настроек
> файервола.
Ответ на ваш вопрос есть здесь:
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#DNATTARGET
--
Best regards
Yuriy Kashirin
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ
2008-11-13 11:07 ` [Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ Андрей Новосёлов
2008-11-13 11:21 ` Yuriy Kashirin
@ 2008-11-13 11:24 ` Anton Kvashin
2 siblings, 0 replies; 5+ messages in thread
From: Anton Kvashin @ 2008-11-13 11:24 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Serg Byalko пишет:
> внешний IP eth0 xxx.xxx.xxx.xxx
> внешний IP eth1 yyy.yyy.yyy.yyy
>
> котнейнеры с внутр. адресами
> bind - 172.16.0.100 - открыт порт 53 (DNS)
> 222 - 172.16.0.113
>
> на родительской машине в ipconfig
> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p udp -m udp --dport 53 -j
> DNAT --to-destination 172.16.0.100:53
> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --dport 53 -j
> DNAT --to-destination 172.16.0.100:53
>
> Если я в контейнере 222 пытаюсь делать nslookup www.ru
> 172.16.0.113 - всё ок
> А если делаю nslookup www.ru xxx.xxx.xxx.xxx , то
> контейнер молчит :((
Воспользуйтесь dig xxx.ru +trace, увидите как пойдет запрос (так как
планировали?)
> как мне необходимо нстроить файервол чтобы из контейнера 222 можно было
> подключться к порту другого контейнера, обращаясь к xxx.xxx.xxx.xxx и
> используюя правило проброса порта из настроек файервола.
в resolv.conf на 222, секция nameserver, что указано?
сделайте nmap 172.16.0.100 c 222
--
Anton Kvashin
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ
2008-11-13 11:21 ` Yuriy Kashirin
@ 2008-11-13 15:25 ` Serg Byalko
2008-11-13 15:58 ` Yuriy Kashirin
0 siblings, 1 reply; 5+ messages in thread
From: Serg Byalko @ 2008-11-13 15:25 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте!
>> внешний IP eth0 xxx.xxx.xxx.xxx
>> внешний IP eth1 yyy.yyy.yyy.yyy
>>
>> котнейнеры с внутр. адресами
>> bind - 172.16.0.100 - открыт порт 53 (DNS)
>> 222 - 172.16.0.113
>>
>> на родительской машине в ipconfig
>> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p udp -m udp --dport 53
>> -j DNAT --to-destination 172.16.0.100:53
>> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --dport 53
>> -j DNAT --to-destination 172.16.0.100:53
>>
>> Если я в контейнере 222 пытаюсь делать nslookup www.ru 172.16.0.113
>> - всё ок А если делаю nslookup www.ru xxx.xxx.xxx.xxx , то
>> контейнер молчит :((
>
> Все правильно, проброс портов будет работать только если заходить на
> 53 порт адреса xxx.xxx.xxx.xxx снаружи, а не из внутренней подсети.
Из инструкции ниже мне не понятно, какой указывать внутренний адрес
файервола? Это же одна машина и такого адреса нет :(
>
>>
>> ВНИМАНИЕ ВОПРОС :)
>>
>> как мне необходимо нстроить файервол чтобы из контейнера 222 можно
>> было подключться к порту другого контейнера, обращаясь к
>> xxx.xxx.xxx.xxx и используюя правило проброса порта из настроек
>> файервола.
>
> Ответ на ваш вопрос есть здесь:
> http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#DNATTARGET
>
>
>
> --
> Best regards
> Yuriy Kashirin
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
--
--
--
С уважением, Бялко Сергей.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ
2008-11-13 15:25 ` Serg Byalko
@ 2008-11-13 15:58 ` Yuriy Kashirin
0 siblings, 0 replies; 5+ messages in thread
From: Yuriy Kashirin @ 2008-11-13 15:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On 13 ноября 2008, Serg Byalko wrote:
> Здравствуйте!
>
> >> внешний IP eth0 xxx.xxx.xxx.xxx
> >> внешний IP eth1 yyy.yyy.yyy.yyy
> >>
> >> котнейнеры с внутр. адресами
> >> bind - 172.16.0.100 - открыт порт 53 (DNS)
> >> 222 - 172.16.0.113
> >>
> >> на родительской машине в ipconfig
> >> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p udp -m udp --dport
> >> 53 -j DNAT --to-destination 172.16.0.100:53
> >> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --dport
> >> 53 -j DNAT --to-destination 172.16.0.100:53
> >>
> >> Если я в контейнере 222 пытаюсь делать nslookup www.ru
> >> 172.16.0.113 - всё ок А если делаю nslookup www.ru
> >> xxx.xxx.xxx.xxx , то контейнер молчит :((
> >
> > Все правильно, проброс портов будет работать только если заходить
> > на 53 порт адреса xxx.xxx.xxx.xxx снаружи, а не из внутренней
> > подсети.
>
> Из инструкции ниже мне не понятно, какой указывать внутренний адрес
> файервола? Это же одна машина и такого адреса нет :(
Да, немного не тот случай. Тогда для перенаправления между
контейнерами должно подойти такое:
iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -i venet0 \
-p udp -m udp --dport 53 \
-j DNAT --to-destination 172.16.0.100:53
(venet0 может называться по другому - тот интерфейс на HN, через
который ходит траффик на контейнеры).
>
> >> ВНИМАНИЕ ВОПРОС :)
> >>
> >> как мне необходимо нстроить файервол чтобы из контейнера 222
> >> можно было подключться к порту другого контейнера, обращаясь к
> >> xxx.xxx.xxx.xxx и используюя правило проброса порта из настроек
> >> файервола.
> >
> > Ответ на ваш вопрос есть здесь:
> > http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#D
> >NATTARGET
> >
--
Best regards
Yuriy Kashirin
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2008-11-13 15:58 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-11-13 11:07 ` [Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ Андрей Новосёлов
2008-11-13 11:21 ` Yuriy Kashirin
2008-11-13 15:25 ` Serg Byalko
2008-11-13 15:58 ` Yuriy Kashirin
2008-11-13 11:24 ` Anton Kvashin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git