Bug 11130 - Bad pattern for VE service forwarding
: Bad pattern for VE service forwarding
Status: CLOSED WONTFIX
: Sisyphus
(All bugs in Sisyphus/alterator-ovz)
: unstable
: all Linux
: P2 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2007-03-17 19:00 by
Modified: 2009-09-30 04:02 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2007-03-17 19:00:42
get_dnat_port()
...
        echo "$tmp" | sed -e "s/.*dpt:\([0-9][0-9][0-9][0-9]\)\ .*/\1/g"

Это приводит к следующим забавным эффектам (101 = openntpd, 102 =
caching-nameserver):

# iptables -t nat -nL PREROUTING
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            10.0.0.50           tcp dpt:65080
to:192.0.2.101:8080 

# alterator-cmdline /ovz-ve/101/ports action list
(("/ovz-ve/101/ports/httpd2" name "httpd2" lport "8080" rport "DNAT       tcp 
--  0.0.0.0/0            10.0.0.50           tcp dpt:65080 to:192.0.2.101:8080 "
forward #t) ("/ovz-ve/101/ports/sshd" name "sshd" lport "22" rport "DNAT      
tcp  --  0.0.0.0/0            10.0.0.50           tcp dpt:65080
to:192.0.2.101:8080 " forward #t))

# alterator-cmdline /ovz-ve/102/ports action list
(("/ovz-ve/102/ports/httpd2" name "httpd2" lport "8080" rport "DNAT       tcp 
--  0.0.0.0/0            10.0.0.50           tcp dpt:65080 to:192.0.2.101:8080 "
forward #t) ("/ovz-ve/102/ports/named" name "named" lport "53" rport "DNAT     
 tcp  --  0.0.0.0/0            10.0.0.50           tcp dpt:65080
to:192.0.2.101:8080 " forward #t) ("/ovz-ve/102/ports/sshd" name "sshd" lport
"22" rport "DNAT       tcp  --  0.0.0.0/0            10.0.0.50           tcp
dpt:65080 to:192.0.2.101:8080 " forward #t))
------- Comment #1 From 2007-03-17 21:07:23 -------
Забавный артефакт номер два (я заменил \d\d\d\d на \d+):

# alterator-cmdline /ovz-ve/101/ports action list
(("/ovz-ve/101/ports/httpd2" name "httpd2" lport "8080" rport "65080" forward
#t) ("/ovz-ve/101/ports/sshd" name "sshd" lport "22" rport "65080" forward #t))

Причина:

# ip a sh dev eth0 | grep inet
    inet 10.0.0.50/8 brd 10.255.255.255 scope global eth0
    inet 194.x.x.x/32 scope global eth0
------- Comment #2 From 2007-03-19 10:09:48 -------
на мантейнера
------- Comment #3 From 2007-03-20 00:17:09 -------
(In reply to comment #1)
> Забавный артефакт номер два (я заменил \d\d\d\d на \d+):
> 
> # alterator-cmdline /ovz-ve/101/ports action list
> (("/ovz-ve/101/ports/httpd2" name "httpd2" lport "8080" rport "65080" forward
> #t) ("/ovz-ve/101/ports/sshd" name "sshd" lport "22" rport "65080" forward #t))
> 
> Причина:
> 
> # ip a sh dev eth0 | grep inet
>     inet 10.0.0.50/8 brd 10.255.255.255 scope global eth0
>     inet 194.x.x.x/32 scope global eth0
т.е. там alias'ы висят на одном интерфейсе? Придется тогда ручку приделать для
выбора ip, на который делать SNAT.
------- Comment #4 From 2007-03-20 19:24:05 -------
Есть мнение, что в этом модуле подобный функционал просто лишний.

1. жёстко привязан к 192.0.2.0/24
2. поддерживает только TCP сервисы (по опыту использования ntpd и named)
3. пересекается с (будущим?) alterator-firewall и другими средствами настройки
iptables
4. не удаляет запись при изменении внешнего порта (unconfirmed)

Если это чинить и расширять - будет очередной монстр, проще написать отдельный
модуль или использовать уже существующие.  Максимум что тут можно оставить -
проброс ssh и httpd-alterator наружу при условии использования конфигурации по
умолчанию.
------- Comment #5 From 2007-03-31 00:55:06 -------
Спасибо Стасу, httpd-alterator пробрасывать уже не нужно.
------- Comment #6 From 2007-04-04 00:02:20 -------
Частично данный баг исправлен в 0.3-alt2, как он теперь воспроизводится?
------- Comment #7 From 2007-04-07 04:18:01 -------
ping
------- Comment #8 From 2007-04-21 04:50:45 -------
В 0.4-alt1 многое изменилось, просьба перепроверить.
------- Comment #9 From 2007-04-24 04:26:47 -------
Между прочим, вычислить udp-порт совсем непросто.
Сейчас в ntp и bind-контейнерах udp-форвардинг не работает.
------- Comment #10 From 2009-09-29 01:32:54 -------
I'm going to close remaining bugs on alterator-ovz which is no more in
Sisyphus; please look whether this one might pop up in alterator-mkve (or
whatever related) too.
------- Comment #11 From 2009-09-29 18:29:32 -------
OK
------- Comment #12 From 2009-09-30 04:02:38 -------
done