Re: DMZ в OpenVZ

[DamirX <damir.hakimov@gmail.com>]

В Срд, 10/03/2010 в 15:04 +0300, Artem Chuprina пишет:
> Строить файрвол внутри vz-ки я пробовал.  Мне не понравилось.  В одном
> случае так и живет пока, потому что HN не мой.  Но практика показывает,
> что лучше строить файрвол на HN.
Спасибо за ценный совет, но обстоятельства вынуждают меня строить
файрвол на одной из машин в контейнере.

Некоторое время помучавшись с veth, я пробросил в контейнер не
интерфейс, а целиком network device:
vzctl set 1001 --netdev_add eth0 --save  #да, eth0 будет использован
файрволом внутри контейнера.

eth0, как и положено исчез на HN и появился в контейнере. На нём
сконфигурированы нужные вланы - всё работает. Дошло дело до настройки
собственно файрвола и iptables.

На HN:
m1:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

На файрволе в контейнере:
fire:~# iptables -L -t nat
FATAL: Could not load /lib/modules/2.6.26-2-openvz-686/modules.dep: No
such file or directory
iptables v1.4.2: can't initialize iptables table `nat': Table does not
exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Ну вот, пока письмо писал, сам всё выяснил:
нужно чтобы необходимые модули были загружены на HN до запуска CT (я
записал их в /etc/modules), и были указаны в
$ cat /etc/vz/conf/1001.conf | grep IPTABLES
IPTABLES="ip_tables ipt_REJECT ip_conntrack ipt_conntrack iptable_nat "
Этот параметр переопределяет соответствующий из файла /etc/vz/vz.conf

-- 
DamirX
>