[Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ

[Yuriy Kashirin]

On 13 ноября 2008, Serg Byalko wrote:
> Здравствуйте!
>
> >> внешний IP eth0 xxx.xxx.xxx.xxx
> >> внешний IP eth1 yyy.yyy.yyy.yyy
> >>
> >> котнейнеры с внутр. адресами
> >> bind  - 172.16.0.100 - открыт порт 53 (DNS)
> >> 222 - 172.16.0.113
> >>
> >> на родительской машине в ipconfig
> >> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p udp -m udp --dport
> >> 53 -j DNAT --to-destination 172.16.0.100:53
> >> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --dport
> >> 53 -j DNAT --to-destination 172.16.0.100:53
> >>
> >> Если я в контейнере 222 пытаюсь делать nslookup www.ru
> >> 172.16.0.113 - всё ок А если делаю nslookup www.ru
> >> xxx.xxx.xxx.xxx , то контейнер молчит :((
> >
> > Все правильно, проброс портов будет работать только если заходить
> > на 53 порт адреса xxx.xxx.xxx.xxx снаружи, а не из внутренней
> > подсети.
>
> Из инструкции ниже мне не понятно, какой указывать внутренний адрес
> файервола? Это же одна машина и такого адреса нет :(

Да, немного не тот случай. Тогда для перенаправления между 
контейнерами должно подойти такое:

iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -i venet0 \
  -p udp -m udp --dport 53 \
  -j DNAT --to-destination 172.16.0.100:53

(venet0 может называться по другому - тот интерфейс на HN, через 
который ходит траффик на контейнеры).

>
> >> ВНИМАНИЕ ВОПРОС :)
> >>
> >> как мне необходимо нстроить файервол чтобы из контейнера 222
> >> можно было подключться к порту другого контейнера, обращаясь к
> >> xxx.xxx.xxx.xxx и используюя правило проброса порта из настроек
> >> файервола.
> >
> > Ответ на ваш вопрос есть здесь:
> > http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#D
> >NATTARGET
> >


-- 
 Best regards
 Yuriy Kashirin