20143 2009-05-22 19:19:24 +0400 При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес" 2009-08-17 14:07:25 +0400 1 1 4 Development Sisyphus alterator-net-iptables unstable all Linux CLOSED FIXED distro-blocker P3 critical --- 19564 1 vitty sem aen aspsk cas sem slazav vitty qa-sisyphus oldest_to_newest 91662 0 vitty 2009-05-22 19:19:24 +0400 При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес". Не делает вообще ничего. 91663 1 dottedmag 2009-05-22 19:21:13 +0400 major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки работает :) 91665 2 vitty 2009-05-22 19:24:03 +0400 (В ответ на комментарий №1) > major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки > работает :) А какой смысл от такого контейнера без адресов? P.S. 2aspsk: кнопка "На главную страницу" тоже ничего не делает 91669 3 vitty 2009-05-22 19:26:15 +0400 Действительно major. Если после создания вернуться на главную, запустить машину а потом зайти в настройки, то добавить ip-адрес можно. 91670 4 vitty 2009-05-22 19:30:02 +0400 (В ответ на комментарий №3) > добавить ip-адрес можно. Добавить-то можно, но это ни на что не влияет. Даже после перезапуска машина этот адрес не получила (не пингуется). 91757 5 aspsk 2009-05-25 12:34:27 +0400 Баг на alterator-mkve не подтверждается: на ham1 все работает. Однако, выданный адрес действительно не пингуется снаружи хоста. Так что это проблема чисто vz-шная. Предлагаю перевесить этот баг на правильный продукт. 91758 6 aspsk 2009-05-25 12:48:44 +0400 Виновник найден. Его зовут alterator-net-iptables. Открывашка портов не открывает порты на адреса, выданные vz-машинам. 91793 7 aen 2009-05-25 19:22:06 +0400 (В ответ на комментарий №6) > Виновник найден. Его зовут alterator-net-iptables. > Открывашка портов не открывает порты на адреса, > выданные vz-машинам. Повесьте на него багу, пожалуйста, блокирующую #19564 95701 8 aen 2009-08-05 15:29:36 +0400 актуально? 95999 9 aen 2009-08-10 03:54:17 +0400 Прошу комментарий от заявителя. 96042 10 vitty 2009-08-10 13:46:40 +0400 Актуально. Попасть в свежеустановленный контейнер невозможно. 96341 11 slazav 2009-08-13 14:38:03 +0400 Попробую сформулировать проблему с точки зрения altertor-net-iptables. Вероятно, я не вполне все понимаю с vz-контейнерами, так что поправляйте, если что... У нас на машине есть внутренние и внешние интерфейсы. Под контейнер создается некоторый новый странный интерфейс (по умолчанию - внутренний). При обращении из внешней сети к контейнеру мы натыкается на то, что FORWARD с внешних интерфейсов у нас всегда закрыт. Проблема в том, что непонятно, как запихать разные сложные случаи в простой интерфейс (который все еще хочется сохранить простым). Например, можно было бы открыть FORWARD с внешних интерфейсов на внутренние для указанных в интерфейсе "открытых" сервисов. Но это будет означать, что в интерфейсе мы открываем доступ к некоторому одинаковому списку портов не только самого сервера, но и всех его внутренних подсетей, всех контейнеров. Кажется, что это неправильно. А разделять открытые порты для разных интерфейсов - это радикальное изменение (и усложнение) всей идеологии alterator-net-iptables. Еще вариант -- при создании и настройки контейнера сделать тривиальные правила DNAT (как обычно, через alterator-net-iptables) на те порты, которые этому контейнеру нужно открыть. Но их придется как-то определять - автоматически или через специальный интерфейс, для каждого контейнера отдельно... 96355 12 slazav 2009-08-13 16:50:44 +0400 Обсудив с vitty и george, решили сделать следующюю схему: * Если у контейнера имеется никому не известный ip - то мы, как и раньше, вынуждены делать вручную те правила DNAT, которые нам нужны. (То есть контейнер получается спрятанным за нашим файерволом, а мы открываем то, что нужно.) * Если у контейнера есть интерфейс из внешней сети, то мы полностью разрешаем доступ на этот контейнер из этой (только этой) внешней сети. (технически: для каждого внешнего интерфейса находим сеть; разрешаем форвардинг с этого интерфейса в эту сеть) 96376 13 repository-robot 2009-08-13 23:48:47 +0400 alterator-net-iptables-3.2-alt1 -> sisyphus: * Thu Aug 13 2009 Vladislav Zavjalov <slazav@altlinux> 3.2-alt1 - Allow forwarding from each external iface to its networks (closes: #20143) - net-tc: some fixes 96377 14 aen 2009-08-14 00:00:00 +0400 Нужели наконец? 2cas: проверьте, пожалуйста. Пока боюсь поздравлять. 96628 15 cas 2009-08-17 14:07:25 +0400 Работает.