11130 2007-03-17 19:00:39 +0300 Bad pattern for VE service forwarding 2009-09-30 04:02:49 +0400 1 1 4 Development Sisyphus alterator-ovz unstable all Linux CLOSED WONTFIX P2 normal --- 1 raorn lakostis aspsk inger ldv mike qa-sisyphus oldest_to_newest 46814 0 raorn 2007-03-17 19:00:42 +0300 get_dnat_port() ... echo "$tmp" | sed -e "s/.*dpt:\([0-9][0-9][0-9][0-9]\)\ .*/\1/g" Это приводит к следующим забавным эффектам (101 = openntpd, 102 = caching-nameserver): # iptables -t nat -nL PREROUTING Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0 10.0.0.50 tcp dpt:65080 to:192.0.2.101:8080 # alterator-cmdline /ovz-ve/101/ports action list (("/ovz-ve/101/ports/httpd2" name "httpd2" lport "8080" rport "DNAT tcp -- 0.0.0.0/0 10.0.0.50 tcp dpt:65080 to:192.0.2.101:8080 " forward #t) ("/ovz-ve/101/ports/sshd" name "sshd" lport "22" rport "DNAT tcp -- 0.0.0.0/0 10.0.0.50 tcp dpt:65080 to:192.0.2.101:8080 " forward #t)) # alterator-cmdline /ovz-ve/102/ports action list (("/ovz-ve/102/ports/httpd2" name "httpd2" lport "8080" rport "DNAT tcp -- 0.0.0.0/0 10.0.0.50 tcp dpt:65080 to:192.0.2.101:8080 " forward #t) ("/ovz-ve/102/ports/named" name "named" lport "53" rport "DNAT tcp -- 0.0.0.0/0 10.0.0.50 tcp dpt:65080 to:192.0.2.101:8080 " forward #t) ("/ovz-ve/102/ports/sshd" name "sshd" lport "22" rport "DNAT tcp -- 0.0.0.0/0 10.0.0.50 tcp dpt:65080 to:192.0.2.101:8080 " forward #t)) 46827 1 raorn 2007-03-17 21:07:23 +0300 Забавный артефакт номер два (я заменил \d\d\d\d на \d+): # alterator-cmdline /ovz-ve/101/ports action list (("/ovz-ve/101/ports/httpd2" name "httpd2" lport "8080" rport "65080" forward #t) ("/ovz-ve/101/ports/sshd" name "sshd" lport "22" rport "65080" forward #t)) Причина: # ip a sh dev eth0 | grep inet inet 10.0.0.50/8 brd 10.255.255.255 scope global eth0 inet 194.x.x.x/32 scope global eth0 46880 2 inger 2007-03-19 10:09:48 +0300 на мантейнера 46935 3 lakostis 2007-03-20 00:17:09 +0300 (In reply to comment #1) > Забавный артефакт номер два (я заменил \d\d\d\d на \d+): > > # alterator-cmdline /ovz-ve/101/ports action list > (("/ovz-ve/101/ports/httpd2" name "httpd2" lport "8080" rport "65080" forward > #t) ("/ovz-ve/101/ports/sshd" name "sshd" lport "22" rport "65080" forward #t)) > > Причина: > > # ip a sh dev eth0 | grep inet > inet 10.0.0.50/8 brd 10.255.255.255 scope global eth0 > inet 194.x.x.x/32 scope global eth0 т.е. там alias'ы висят на одном интерфейсе? Придется тогда ручку приделать для выбора ip, на который делать SNAT. 46947 4 raorn 2007-03-20 19:24:05 +0300 Есть мнение, что в этом модуле подобный функционал просто лишний. 1. жёстко привязан к 192.0.2.0/24 2. поддерживает только TCP сервисы (по опыту использования ntpd и named) 3. пересекается с (будущим?) alterator-firewall и другими средствами настройки iptables 4. не удаляет запись при изменении внешнего порта (unconfirmed) Если это чинить и расширять - будет очередной монстр, проще написать отдельный модуль или использовать уже существующие. Максимум что тут можно оставить - проброс ssh и httpd-alterator наружу при условии использования конфигурации по умолчанию. 47454 5 ldv 2007-03-31 00:55:06 +0400 Спасибо Стасу, httpd-alterator пробрасывать уже не нужно. 47813 6 lakostis 2007-04-04 00:02:20 +0400 Частично данный баг исправлен в 0.3-alt2, как он теперь воспроизводится? 48268 7 ldv 2007-04-07 04:18:01 +0400 ping 49263 8 ldv 2007-04-21 04:50:45 +0400 В 0.4-alt1 многое изменилось, просьба перепроверить. 49413 9 ldv 2007-04-24 04:26:47 +0400 Между прочим, вычислить udp-порт совсем непросто. Сейчас в ntp и bind-контейнерах udp-форвардинг не работает. 100336 10 mike 2009-09-29 01:32:54 +0400 I'm going to close remaining bugs on alterator-ovz which is no more in Sisyphus; please look whether this one might pop up in alterator-mkve (or whatever related) too. 100432 11 aspsk 2009-09-29 18:29:32 +0400 OK 100472 12 mike 2009-09-30 04:02:38 +0400 done