[Sysadmins] AltLinux Server 4.1 настройка файервола для OPENVZ

[Yuriy Kashirin]

On 13 ноября 2008, Serg Byalko wrote:
> Здравствуйте! Ситуация такая:
> AltLinux Server 4.1
> внешний IP eth0 xxx.xxx.xxx.xxx
> внешний IP eth1 yyy.yyy.yyy.yyy
>
> котнейнеры с внутр. адресами
> bind  - 172.16.0.100 - открыт порт 53 (DNS)
> 222 - 172.16.0.113
>
> на родительской машине в ipconfig
> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p udp -m udp --dport 53
> -j DNAT --to-destination 172.16.0.100:53
> -A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --dport 53
> -j DNAT --to-destination 172.16.0.100:53
>
> Если я в контейнере 222 пытаюсь делать nslookup www.ru 172.16.0.113
> - всё ок А если делаю nslookup www.ru xxx.xxx.xxx.xxx , то
> контейнер молчит :((

Все правильно, проброс портов будет работать только если заходить на 
53 порт адреса xxx.xxx.xxx.xxx снаружи, а не из внутренней подсети.

>
> ВНИМАНИЕ ВОПРОС :)
>
> как мне необходимо нстроить файервол чтобы из контейнера 222 можно
> было подключться к порту другого контейнера, обращаясь к
> xxx.xxx.xxx.xxx и используюя правило проброса порта из настроек
> файервола.

Ответ на ваш вопрос есть здесь:
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#DNATTARGET



-- 
 Best regards
 Yuriy Kashirin