Re: DMZ в OpenVZ
В Срд, 10/03/2010 в 15:04 +0300, Artem Chuprina пишет:
> Строить файрвол внутри vz-ки я пробовал. Мне не понравилось. В одном
> случае так и живет пока, потому что HN не мой. Но практика показывает,
> что лучше строить файрвол на HN.
Спасибо за ценный совет, но обстоятельства вынуждают меня строить
файрвол на одной из машин в контейнере.
Некоторое время помучавшись с veth, я пробросил в контейнер не
интерфейс, а целиком network device:
vzctl set 1001 --netdev_add eth0 --save #да, eth0 будет использован
файрволом внутри контейнера.
eth0, как и положено исчез на HN и появился в контейнере. На нём
сконфигурированы нужные вланы - всё работает. Дошло дело до настройки
собственно файрвола и iptables.
На HN:
m1:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
На файрволе в контейнере:
fire:~# iptables -L -t nat
FATAL: Could not load /lib/modules/2.6.26-2-openvz-686/modules.dep: No
such file or directory
iptables v1.4.2: can't initialize iptables table `nat': Table does not
exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Ну вот, пока письмо писал, сам всё выяснил:
нужно чтобы необходимые модули были загружены на HN до запуска CT (я
записал их в /etc/modules), и были указаны в
$ cat /etc/vz/conf/1001.conf | grep IPTABLES
IPTABLES="ip_tables ipt_REJECT ip_conntrack ipt_conntrack iptable_nat "
Этот параметр переопределяет соответствующий из файла /etc/vz/vz.conf
--
DamirX
>
Reply to: