ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес" | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Vitaly Kuznetsov <vitty> |
| Component: | alterator-net-iptables | Assignee: | Mikhail Efremov <sem> |
| Status: | CLOSED FIXED | QA Contact: | qa-sisyphus |
| Severity: | critical | ||
| Priority: | P3 | CC: | aen, aspsk, cas, sem, slazav, vitty |
| Version: | unstable | Keywords: | distro-blocker |
| Hardware: | all | ||
| OS: | Linux | ||
| Bug Depends on: | |||
| Bug Blocks: | 19564 | ||
|
Description
Vitaly Kuznetsov
2009-05-22 19:19:24 MSD
major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки работает :) (В ответ на комментарий №1)
> major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки
> работает :)
А какой смысл от такого контейнера без адресов?
P.S. 2aspsk: кнопка "На главную страницу" тоже ничего не делает
Действительно major. Если после создания вернуться на главную, запустить машину а потом зайти в настройки, то добавить ip-адрес можно. (В ответ на комментарий №3) > добавить ip-адрес можно. Добавить-то можно, но это ни на что не влияет. Даже после перезапуска машина этот адрес не получила (не пингуется). Баг на alterator-mkve не подтверждается: на ham1 все работает. Однако, выданный адрес действительно не пингуется снаружи хоста. Так что это проблема чисто vz-шная. Предлагаю перевесить этот баг на правильный продукт. Виновник найден. Его зовут alterator-net-iptables. Открывашка портов не открывает порты на адреса, выданные vz-машинам. (В ответ на комментарий №6) > Виновник найден. Его зовут alterator-net-iptables. > Открывашка портов не открывает порты на адреса, > выданные vz-машинам. Повесьте на него багу, пожалуйста, блокирующую #19564 актуально? Прошу комментарий от заявителя. Актуально. Попасть в свежеустановленный контейнер невозможно. Попробую сформулировать проблему с точки зрения altertor-net-iptables. Вероятно, я не вполне все понимаю с vz-контейнерами, так что поправляйте, если что... У нас на машине есть внутренние и внешние интерфейсы. Под контейнер создается некоторый новый странный интерфейс (по умолчанию - внутренний). При обращении из внешней сети к контейнеру мы натыкается на то, что FORWARD с внешних интерфейсов у нас всегда закрыт. Проблема в том, что непонятно, как запихать разные сложные случаи в простой интерфейс (который все еще хочется сохранить простым). Например, можно было бы открыть FORWARD с внешних интерфейсов на внутренние для указанных в интерфейсе "открытых" сервисов. Но это будет означать, что в интерфейсе мы открываем доступ к некоторому одинаковому списку портов не только самого сервера, но и всех его внутренних подсетей, всех контейнеров. Кажется, что это неправильно. А разделять открытые порты для разных интерфейсов - это радикальное изменение (и усложнение) всей идеологии alterator-net-iptables. Еще вариант -- при создании и настройки контейнера сделать тривиальные правила DNAT (как обычно, через alterator-net-iptables) на те порты, которые этому контейнеру нужно открыть. Но их придется как-то определять - автоматически или через специальный интерфейс, для каждого контейнера отдельно... Обсудив с vitty и george, решили сделать следующюю схему: * Если у контейнера имеется никому не известный ip - то мы, как и раньше, вынуждены делать вручную те правила DNAT, которые нам нужны. (То есть контейнер получается спрятанным за нашим файерволом, а мы открываем то, что нужно.) * Если у контейнера есть интерфейс из внешней сети, то мы полностью разрешаем доступ на этот контейнер из этой (только этой) внешней сети. (технически: для каждого внешнего интерфейса находим сеть; разрешаем форвардинг с этого интерфейса в эту сеть) alterator-net-iptables-3.2-alt1 -> sisyphus: * Thu Aug 13 2009 Vladislav Zavjalov <slazav@altlinux> 3.2-alt1 - Allow forwarding from each external iface to its networks (closes: #20143) - net-tc: some fixes Нужели наконец? 2cas: проверьте, пожалуйста. Пока боюсь поздравлять. Работает. |
