#11318 – Port forwarding не работает для udp

Bug 11318 - Port forwarding не работает для udp

Summary: Port forwarding не работает для udp

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	alterator-ovz (show other bugs)
Version:	unstable
Hardware:	all Linux

Importance:	P2 blocker
Assignee:	Konstantin A Lepikhov (L.A. Kostis)
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2007-04-02 23:05 MSD by Anton Farygin
Modified:	2007-04-06 15:38 MSD (History)
CC List:	3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Anton Farygin 2007-04-02 23:05:39 MSD

Система - Sisyphus. Установлено всё было с предыдущей беты инсталятора. Обновлено.
$ rpm -qa|grep ovz
kernel-image-ovz-smp-2.6.18-alt11
alterator-ovz-0.3-alt1
spt-profiles-ovz-0.2-alt1

Создан некий ovz контейнер с caching-nameserver. Он настроен и работает.

После этого захотелось попробовать Port Forwarding. 
Видимого результата не заметил (на хост системе 53-й порт всё так же закрыт).

Comment 1 Konstantin A Lepikhov (L.A. Kostis) 2007-04-03 11:14:41 MSD

Без вывода iptables -t nat -nL, ip r l, и /var/log/configd.log информация не
представляет интереса.

Comment 2 Anton Farygin 2007-04-03 11:32:31 MSD

# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            192.168.0.3         tcp dpt:53
to:192.0.2.101:53 

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       0    --  192.0.2.101          0.0.0.0/0           to:192.168.0.3 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

# ip r l
192.168.0.2 dev venet0  scope link 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.3 
default via 192.168.0.1 dev eth0 

Лог:
Warning: too large value for OOMGUARPAGES=6144:9223372036854775807 was truncated
Warning: too large value for PHYSPAGES=0:9223372036854775807 was truncated
Saving current rules to /etc/sysconfig/iptables: [ DONE ]
Saving current rules to /etc/sysconfig/iptables: [ DONE ]
Warning: too large value for VMGUARPAGES=6144:9223372036854775807 was truncated
Warning: too large value for OOMGUARPAGES=6144:9223372036854775807 was truncated
Warning: too large value for PHYSPAGES=0:9223372036854775807 was truncated
Warning: too large value for VMGUARPAGES=6144:9223372036854775807 was truncated
Warning: too large value for OOMGUARPAGES=6144:9223372036854775807 was truncated
Warning: too large value for PHYSPAGES=0:9223372036854775807 was truncated
Warning: too large value for VMGUARPAGES=6144:9223372036854775807 was truncated
Warning: too large value for OOMGUARPAGES=6144:9223372036854775807 was truncated
Warning: too large value for PHYSPAGES=0:9223372036854775807 was truncated

Comment 3 Anton Farygin 2007-04-03 11:34:55 MSD

при этом:
# nslookup www.ru 192.168.0.3
- не работает

# nslookup www.ru localhost
- не работает

А вот так работает
# nslookup www.ru 192.168.0.2
Server:         192.168.0.2
Address:        192.168.0.2#53

Non-authoritative answer:
Name:   www.ru
Address: 194.87.0.50

Comment 4 Anton Farygin 2007-04-03 11:36:07 MSD

Поднимаю до blocker

Comment 5 Konstantin A Lepikhov (L.A. Kostis) 2007-04-03 11:40:11 MSD

(In reply to comment #0)
...
> После этого захотелось попробовать Port Forwarding. 
> Видимого результата не заметил (на хост системе 53-й порт всё так же закрыт).

Если порт проверяется с хост системы, то 53 порт там естественно закрыт - DNAT
работает только для внешних подключений. Что говорит проверка 53 порта с другой
машины?

PS Я не вижу повода поднимать Severity.

Comment 6 Anton Farygin 2007-04-03 13:21:16 MSD

неработающая функциональность - это блокер.

Снаружи порт видно, но при попытке к нему соедениться ничего не происходит.

Проверь у себя, это будет проще всего. у меня воспроизвелось на нескольких
машинах в разных сетях.

Comment 7 Dmitry V. Levin 2007-04-03 13:26:43 MSD

dns ходит по tcp в основном для zone transfer.
всё остальное по udp.

Comment 8 Anton Farygin 2007-04-03 13:30:46 MSD

nslookup тоже не работает.

да, собственно в правилах видно что пробрасываются только tcp.. видимо это не
правильно, и пробрасывать желательно ещё и UDP.

Comment 9 Dmitry V. Levin 2007-04-03 13:34:21 MSD

Из того, что мы штатно помещаем в контейнер, насколько я помню, только bind
нуждается в этой возможности.  Хотя возможность выбрать в интерфейсе udp может
пригодиться где-то ещё.

Comment 10 Sir Raorn 2007-04-03 13:38:11 MSD

Ещё ntpd...

Comment 11 Anton Farygin 2007-04-03 13:45:46 MSD

ну мало ли что народ в контейнер положит.. там же есть возможность произвольное
количестве пакетов установить.

Кстати, а как контейнер и хост систему обновлять через WEB интерфейс ? что
что-то такой кнопки там не нашёл.

Comment 12 Konstantin A Lepikhov (L.A. Kostis) 2007-04-03 13:55:39 MSD

(In reply to comment #6)
> неработающая функциональность - это блокер.
> 
если она не заявлена/ее неправильно используют - отнюдь.

(In reply to comment #11)
> Кстати, а как контейнер и хост систему обновлять через WEB интерфейс ? что
> что-то такой кнопки там не нашёл.
а как это относится к данной ошибке?

Comment 13 Konstantin A Lepikhov (L.A. Kostis) 2007-04-04 00:02:37 MSD

Fixed in 0.3-alt2

Comment 14 Anton Farygin 2007-04-06 15:38:05 MSD

А где пакет в sisyphus ?