From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <srk@nevod.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.5 required=5.0 tests=BAYES_00,DNS_FROM_OPENWHOIS
	autolearn=no version=3.2.5
X-Virus-Scanned: amavisd-new at nevod.ru
Message-ID: <4BA9950F.9030808@nevod.ru>
Date: Wed, 24 Mar 2010 09:29:03 +0500
From: Rinat Shigapov <srk@nevod.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US;
	rv:1.9.1.5pre) Gecko/20091019 Lightning/1.0pre Thunderbird/3.0pre
MIME-Version: 1.0
To: sysadmins@lists.altlinux.org
References: <4BA900E8.6050102@nevod.ru> <201003240008.14425.a_s_y@sama.ru>
	<4BA9305E.4090805@rambler.ru>
In-Reply-To: <4BA9305E.4090805@rambler.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] NAT inside VE
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 24 Mar 2010 04:26:23 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/4BA9950F.9030808@nevod.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

24.03.2010 02:19, Di пишет:
> On 23.03.2010 22:08, Sergey wrote:
>> On Tuesday 23 March 2010, Rinat Shigapov wrote:
>>
>>> Что-то не заводится nat внутри VE. Ядро 2.6.27-ovz-smp-alt12 x86_64. В
>>> конфигурации VE указал IPTABLES="", т.е. использовать все возможные
>>> модули iptables.
>>
>> /etc/vz/vz.conf:
>>
>> ## IPv4 iptables kernel modules
>> IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter 
>> iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat 
>> ipt_conntrack ipt_LOG"
>>
>> Но это 2.6.18-ovz-rhel, с 2.6.27-ovz не пробовал, кажется...
>>
> У меня сутра работало с 2.6.27-ovz.
> Нужно точно указать какие модули использовать. IPTABLES="" - разве что 
> проверить в исходниках/скриптах, как себя текущий vz ведёт.
В man vzctl:

--iptables name
            Restrict  access  to iptables modules inside a container (by 
default all iptables modules that are
            loaded in the host system are accessible inside a container)

Заработало только при явном указании предложенного набора модулей. 
Значит man говорит неправду?

-- 
С уважением, Шигапов Ринат
     инженер-программист ООО "Невод"
     тел. (342) 2 196 960
     JID: dxist эт jabber.mipt.ru