Bug 20143 - При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес"
: При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес"
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/alterator-net-iptables)
: unstable
: all Linux
: P3 critical
Assigned To:
:
:
: distro-blocker
:
: 19564
  Show dependency tree
 
Reported: 2009-05-22 19:19 by
Modified: 2009-08-17 14:07 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-05-22 19:19:24
При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес". Не
делает вообще ничего.
------- Comment #1 From 2009-05-22 19:21:13 -------
major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки
работает :)
------- Comment #2 From 2009-05-22 19:24:03 -------
(В ответ на комментарий №1)
> major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки
> работает :)

А какой смысл от такого контейнера без адресов? 

P.S. 2aspsk: кнопка "На главную страницу" тоже ничего не делает
------- Comment #3 From 2009-05-22 19:26:15 -------
Действительно major. Если после создания вернуться на главную, запустить машину
а потом зайти в настройки, то добавить ip-адрес можно.
------- Comment #4 From 2009-05-22 19:30:02 -------
(В ответ на комментарий №3)
> добавить ip-адрес можно.

Добавить-то можно, но это ни на что не влияет. Даже после перезапуска машина
этот адрес не получила (не пингуется).
------- Comment #5 From 2009-05-25 12:34:27 -------
Баг на alterator-mkve не подтверждается: на ham1 все работает.

Однако, выданный адрес действительно не пингуется снаружи хоста.
Так что это проблема чисто vz-шная. Предлагаю перевесить этот
баг на правильный продукт.
------- Comment #6 From 2009-05-25 12:48:44 -------
Виновник найден. Его зовут alterator-net-iptables.
Открывашка портов не открывает порты на адреса,
выданные vz-машинам.
------- Comment #7 From 2009-05-25 19:22:06 -------
(В ответ на комментарий №6)
> Виновник найден. Его зовут alterator-net-iptables.
> Открывашка портов не открывает порты на адреса,
> выданные vz-машинам.

Повесьте на него багу, пожалуйста, блокирующую #19564
------- Comment #8 From 2009-08-05 15:29:36 -------
актуально?
------- Comment #9 From 2009-08-10 03:54:17 -------
Прошу комментарий от заявителя.
------- Comment #10 From 2009-08-10 13:46:40 -------
Актуально. Попасть в свежеустановленный контейнер невозможно.
------- Comment #11 From 2009-08-13 14:38:03 -------
Попробую сформулировать проблему с точки зрения altertor-net-iptables.
Вероятно, я не вполне все понимаю с vz-контейнерами, так что поправляйте, если
что...

У нас на машине есть внутренние и внешние интерфейсы. Под контейнер создается
некоторый новый странный интерфейс (по умолчанию - внутренний). При обращении
из внешней сети к контейнеру мы натыкается на то, что FORWARD с внешних
интерфейсов у нас всегда закрыт.

Проблема в том, что непонятно, как запихать разные сложные случаи в простой
интерфейс (который все еще хочется сохранить простым).

Например, можно было бы открыть FORWARD с внешних интерфейсов на внутренние для
указанных в интерфейсе "открытых" сервисов. Но это будет означать, что в
интерфейсе мы открываем доступ к некоторому одинаковому списку портов не только
самого сервера, но и всех его внутренних подсетей, всех контейнеров. Кажется,
что это неправильно. А разделять открытые порты для разных интерфейсов - это
радикальное изменение (и усложнение) всей идеологии alterator-net-iptables.

Еще вариант -- при создании и настройки контейнера сделать тривиальные правила
DNAT (как обычно, через alterator-net-iptables) на те порты, которые этому
контейнеру нужно открыть. Но их придется как-то определять - автоматически или
через специальный интерфейс, для каждого контейнера отдельно...
------- Comment #12 From 2009-08-13 16:50:44 -------
Обсудив с vitty и george, решили сделать следующюю схему:

* Если у контейнера имеется никому не известный ip - то мы, как и раньше,
вынуждены делать вручную те правила DNAT, которые нам нужны. (То есть контейнер
получается спрятанным за нашим файерволом, а мы открываем то, что нужно.)

* Если у контейнера есть интерфейс из внешней сети, то мы полностью разрешаем
доступ на этот контейнер из этой (только этой) внешней сети. 

(технически: для каждого внешнего интерфейса находим сеть; разрешаем форвардинг
с этого интерфейса в эту сеть)
------- Comment #13 From 2009-08-13 23:48:47 -------
alterator-net-iptables-3.2-alt1 -> sisyphus:

* Thu Aug 13 2009 Vladislav Zavjalov <slazav@altlinux> 3.2-alt1

- Allow forwarding from each external iface to its networks (closes: #20143)
- net-tc: some fixes
------- Comment #14 From 2009-08-14 00:00:00 -------
Нужели наконец?
2cas: проверьте, пожалуйста. Пока боюсь поздравлять.
------- Comment #15 From 2009-08-17 14:07:25 -------
Работает.