* [Sysadmins] NAT inside VE
@ 2010-03-23 17:56 Rinat Shigapov
2010-03-23 18:46 ` Ivan Fedorov
2010-03-23 20:08 ` Sergey
0 siblings, 2 replies; 10+ messages in thread
From: Rinat Shigapov @ 2010-03-23 17:56 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Доброго времени суток!
Что-то не заводится nat внутри VE. Ядро 2.6.27-ovz-smp-alt12 x86_64. В
конфигурации VE указал IPTABLES="", т.е. использовать все возможные
модули iptables.
На HN запущены такие модули:
#lsmod |grep ip
iptable_nat 16260 0
ipt_addrtype 11136 0
xt_multiport 11904 3
ipt_MASQUERADE 10624 0
nf_nat 28436 3 iptable_nat,nf_nat_ftp,ipt_MASQUERADE
ipt_ttl 10240 0
iptable_mangle 12928 1
ipt_REJECT 11776 51
nf_conntrack_ipv4 29856 6 iptable_nat,nf_nat
nf_conntrack 96528 6
iptable_nat,nf_nat_ftp,nf_nat,nf_conntrack_ipv4,xt_state,nf_conntrack_ftp
iptable_filter 12416 2
ip_tables 27792 3 iptable_nat,iptable_mangle,iptable_filter
x_tables 32136 10
iptable_nat,ipt_addrtype,xt_multiport,xt_MARK,ipt_MASQUERADE,xt_tcpudp,ipt_ttl,ipt_REJECT,xt_state,ip_tables
При этом внутри VE:
# cat /proc/net/ip_tables_names
mangle
filter
VE стартовал после загрузки модулей в HN.
Как там с nat в 2.6.27-ovz-smp?
--
С уважением,
инженер-программист ООО "Невод"
Ринат Шигапов
Jabber ID: dxist эт ya.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-23 17:56 [Sysadmins] NAT inside VE Rinat Shigapov
@ 2010-03-23 18:46 ` Ivan Fedorov
2010-03-23 20:08 ` Sergey
1 sibling, 0 replies; 10+ messages in thread
From: Ivan Fedorov @ 2010-03-23 18:46 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 496 bytes --]
Rinat Shigapov <srk-XwTW/+JUs20@public.gmane.org> writes:
> Доброго времени суток!
>
> Что-то не заводится nat внутри VE. Ядро 2.6.27-ovz-smp-alt12 x86_64. В
> конфигурации VE указал IPTABLES="", т.е. использовать все возможные
> модули iptables.
А вы уверены в смысле IPTABLES=""?
AFAIR оно значит не использовать никаких модулей.
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-23 17:56 [Sysadmins] NAT inside VE Rinat Shigapov
2010-03-23 18:46 ` Ivan Fedorov
@ 2010-03-23 20:08 ` Sergey
2010-03-23 21:19 ` Di
1 sibling, 1 reply; 10+ messages in thread
From: Sergey @ 2010-03-23 20:08 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Tuesday 23 March 2010, Rinat Shigapov wrote:
> Что-то не заводится nat внутри VE. Ядро 2.6.27-ovz-smp-alt12 x86_64. В
> конфигурации VE указал IPTABLES="", т.е. использовать все возможные
> модули iptables.
/etc/vz/vz.conf:
## IPv4 iptables kernel modules
IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat ipt_conntrack ipt_LOG"
Но это 2.6.18-ovz-rhel, с 2.6.27-ovz не пробовал, кажется...
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-23 20:08 ` Sergey
@ 2010-03-23 21:19 ` Di
2010-03-24 4:29 ` Rinat Shigapov
0 siblings, 1 reply; 10+ messages in thread
From: Di @ 2010-03-23 21:19 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
[-- Attachment #1: Type: text/plain, Size: 706 bytes --]
On 23.03.2010 22:08, Sergey wrote:
> On Tuesday 23 March 2010, Rinat Shigapov wrote:
>
>> Что-то не заводится nat внутри VE. Ядро 2.6.27-ovz-smp-alt12 x86_64. В
>> конфигурации VE указал IPTABLES="", т.е. использовать все возможные
>> модули iptables.
>
> /etc/vz/vz.conf:
>
> ## IPv4 iptables kernel modules
> IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat ipt_conntrack ipt_LOG"
>
> Но это 2.6.18-ovz-rhel, с 2.6.27-ovz не пробовал, кажется...
>
У меня сутра работало с 2.6.27-ovz. Нужно точно указать какие модули
использовать. IPTABLES="" - разве что проверить в исходниках/скриптах,
как себя текущий vz ведёт.
[-- Attachment #2: denyago.vcf --]
[-- Type: text/x-vcard, Size: 366 bytes --]
begin:vcard
fn:Denis Timurovich Yagofarov
n:Yagofarov;Denis Timurovich
org:ITGIS NASU
adr:room 615;;Chokolovski blvdr., 13;Kiev;;03151;Ukraine
email;internet:denyago@rambler.ru
title:system administrator
tel;work:80442480755
tel;pager:diyago@jabber.te.ua
tel;home:80442434512
tel;cell:80662933760
note:diyago@jabber.te.ua
x-mozilla-html:FALSE
version:2.1
end:vcard
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-23 21:19 ` Di
@ 2010-03-24 4:29 ` Rinat Shigapov
2010-03-24 10:05 ` Ivan Fedorov
0 siblings, 1 reply; 10+ messages in thread
From: Rinat Shigapov @ 2010-03-24 4:29 UTC (permalink / raw)
To: sysadmins
24.03.2010 02:19, Di пишет:
> On 23.03.2010 22:08, Sergey wrote:
>> On Tuesday 23 March 2010, Rinat Shigapov wrote:
>>
>>> Что-то не заводится nat внутри VE. Ядро 2.6.27-ovz-smp-alt12 x86_64. В
>>> конфигурации VE указал IPTABLES="", т.е. использовать все возможные
>>> модули iptables.
>>
>> /etc/vz/vz.conf:
>>
>> ## IPv4 iptables kernel modules
>> IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter
>> iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat
>> ipt_conntrack ipt_LOG"
>>
>> Но это 2.6.18-ovz-rhel, с 2.6.27-ovz не пробовал, кажется...
>>
> У меня сутра работало с 2.6.27-ovz.
> Нужно точно указать какие модули использовать. IPTABLES="" - разве что
> проверить в исходниках/скриптах, как себя текущий vz ведёт.
В man vzctl:
--iptables name
Restrict access to iptables modules inside a container (by
default all iptables modules that are
loaded in the host system are accessible inside a container)
Заработало только при явном указании предложенного набора модулей.
Значит man говорит неправду?
--
С уважением, Шигапов Ринат
инженер-программист ООО "Невод"
тел. (342) 2 196 960
JID: dxist эт jabber.mipt.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-24 4:29 ` Rinat Shigapov
@ 2010-03-24 10:05 ` Ivan Fedorov
2010-03-24 11:16 ` Rinat Shigapov
0 siblings, 1 reply; 10+ messages in thread
From: Ivan Fedorov @ 2010-03-24 10:05 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 577 bytes --]
Rinat Shigapov <srk-XwTW/+JUs20@public.gmane.org> writes:
> В man vzctl:
>
> --iptables name
> Restrict access to iptables modules inside a container
> (by default all iptables modules that are
> loaded in the host system are accessible inside a container)
>
> Заработало только при явном указании предложенного набора
> модулей. Значит man говорит неправду?
скорее всего модули грузились после запуска сервиса vz.
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-24 10:05 ` Ivan Fedorov
@ 2010-03-24 11:16 ` Rinat Shigapov
2010-03-24 11:48 ` Ivan Fedorov
0 siblings, 1 reply; 10+ messages in thread
From: Rinat Shigapov @ 2010-03-24 11:16 UTC (permalink / raw)
To: sysadmins
24.03.2010 15:05, Ivan Fedorov пишет:
> Rinat Shigapov<srk-XwTW/+JUs20@public.gmane.org> writes:
>
>
>> В man vzctl:
>>
>> --iptables name
>> Restrict access to iptables modules inside a container
>> (by default all iptables modules that are
>> loaded in the host system are accessible inside a container)
>>
>> Заработало только при явном указании предложенного набора
>> модулей. Значит man говорит неправду?
>>
> скорее всего модули грузились после запуска сервиса vz.
>
Модули уже загружены в HN. Как я понимаю, в VE лишь ограничивается
доступ к ним.
По крайней мере, matches и targets в VE при IPTABLES="" были такие же,
как и при явном указании модулей, значит частично что-то отрабатывало.
--
С уважением, Шигапов Ринат
инженер-программист ООО "Невод"
тел. (342) 2 196 960
JID: dxist эт jabber.mipt.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-24 11:16 ` Rinat Shigapov
@ 2010-03-24 11:48 ` Ivan Fedorov
2010-03-24 12:29 ` Rinat Shigapov
0 siblings, 1 reply; 10+ messages in thread
From: Ivan Fedorov @ 2010-03-24 11:48 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1183 bytes --]
Rinat Shigapov <srk-XwTW/+JUs20@public.gmane.org> writes:
> 24.03.2010 15:05, Ivan Fedorov пишет:
>> Rinat Shigapov<srk-XwTW/+JUs20@public.gmane.org> writes:
>>
>>
>>> В man vzctl:
>>>
>>> --iptables name
>>> Restrict access to iptables modules inside a container
>>> (by default all iptables modules that are
>>> loaded in the host system are accessible inside a container)
>>>
>>> Заработало только при явном указании предложенного набора
>>> модулей. Значит man говорит неправду?
>>>
>> скорее всего модули грузились после запуска сервиса vz.
>>
> Модули уже загружены в HN. Как я понимаю, в VE лишь ограничивается
> доступ к ним.
Если модули загружены после запуска сервиса vz в HN, то контейнеры их не
увидят независимо от времени запуска контейнера. По краней мере так было
когда-то давно... :)
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-24 11:48 ` Ivan Fedorov
@ 2010-03-24 12:29 ` Rinat Shigapov
2010-03-24 13:25 ` Slava Dubrovskiy
0 siblings, 1 reply; 10+ messages in thread
From: Rinat Shigapov @ 2010-03-24 12:29 UTC (permalink / raw)
To: sysadmins
24.03.2010 16:48, Ivan Fedorov пишет:
> Rinat Shigapov<srk-XwTW/+JUs20@public.gmane.org> writes:
>
>
>> Модули уже загружены в HN. Как я понимаю, в VE лишь ограничивается
>> доступ к ним.
>>
> Если модули загружены после запуска сервиса vz в HN, то контейнеры их не
> увидят независимо от времени запуска контейнера. По краней мере так было
> когда-то давно... :)
>
Но сейчас параметр IPTABLES можно указать отдельно для конкретной VE,
значит достаточно подгрузить модули перед запуском VE.
--
С уважением, Шигапов Ринат
инженер-программист ООО "Невод"
тел. (342) 2 196 960
JID: dxist эт jabber.mipt.ru
^ permalink raw reply [flat|nested] 10+ messages in thread
* Re: [Sysadmins] NAT inside VE
2010-03-24 12:29 ` Rinat Shigapov
@ 2010-03-24 13:25 ` Slava Dubrovskiy
0 siblings, 0 replies; 10+ messages in thread
From: Slava Dubrovskiy @ 2010-03-24 13:25 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.03.2010 14:29, Rinat Shigapov пишет:
>>> Модули уже загружены в HN. Как я понимаю, в VE лишь ограничивается
>>> доступ к ним.
>>>
>> Если модули загружены после запуска сервиса vz в HN, то контейнеры их не
>> увидят независимо от времени запуска контейнера. По краней мере так было
>> когда-то давно... :)
>>
> Но сейчас параметр IPTABLES можно указать отдельно для конкретной
> VE, значит достаточно подгрузить модули перед запуском VE.
Это Вы так думаете. В реальности немного по другому. :)
--
WBR,
Dubrovskiy Vyacheslav
^ permalink raw reply [flat|nested] 10+ messages in thread
end of thread, other threads:[~2010-03-24 13:25 UTC | newest]
Thread overview: 10+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-03-23 17:56 [Sysadmins] NAT inside VE Rinat Shigapov
2010-03-23 18:46 ` Ivan Fedorov
2010-03-23 20:08 ` Sergey
2010-03-23 21:19 ` Di
2010-03-24 4:29 ` Rinat Shigapov
2010-03-24 10:05 ` Ivan Fedorov
2010-03-24 11:16 ` Rinat Shigapov
2010-03-24 11:48 ` Ivan Fedorov
2010-03-24 12:29 ` Rinat Shigapov
2010-03-24 13:25 ` Slava Dubrovskiy
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git