Konfiguracja sieci OpenVZ

[limes 27]

Hej, piszę z zapytaniem odnośnie konfiguracji sieci niezbędnej do funkcjonowania OpenVZ. O co mi chodzi ? chodzi mi o to że stawiam vpsy, nadaje im ip (ręcznie) jednak one zostają za nat'em, bez możliwości rozpoznania domen (mimo dodania nameserver nie rusza nic). Nie mam wykupionych ip, ale nie chodzi mi o to żeby były widoczne z zewnątrz tylko żeby widziały inne serwery.

 

Mam nadzieje że nic nie pomieszałem w tłumaczeniu.

 

ifconfig - host

eth0      Link encap:Ethernet  HWaddr 00:22:4D:A9:EF:78
          inet addr:37.187.98.181  Bcast:37.187.98.255  Mask:255.255.255.0
          inet6 addr: 2001:41d0:a:22b5::1/128 Scope:Global
          inet6 addr: fe80::222:4dff:fea9:ef78/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:806008 errors:0 dropped:0 overruns:0 frame:0
          TX packets:282187 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:64358012 (61.3 MiB)  TX bytes:86701689 (82.6 MiB)
          Interrupt:16 Memory:80400000-80420000


lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:20982 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20982 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3999232 (3.8 MiB)  TX bytes:3999232 (3.8 MiB)


venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet6 addr: fe80::1/128 Scope:Link
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:56 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3668 (3.5 KiB)  TX bytes:0 (0.0 b)

ifconfig - vps

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.2  P-t-P:127.0.0.2  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:23 errors:0 dropped:0 overruns:0 frame:0
          TX packets:25 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3345 (3.2 KiB)  TX bytes:4235 (4.1 KiB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:192.168.1.2  P-t-P:192.168.1.2  Bcast:192.168.1.2  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

cat /etc/resolv.conf - vps

search ovh.net
nameserver 8.8.8.8
nameserver 8.8.4.4

 

Ktoś robił już coś takiego ? Ktoś jest w stanie pomóc ? ;-)

Edytowano Luty 8, 2015 przez limes (zobacz historię edycji)

[HaPe 242]

Dodaj nat lub maskaradę w iptables na matce dla adresacji stosowanej na vm.

[Desavil 88]

Używam NATa na czystym OpenVZ, powinno być podobnie.

Kontenerowi daję domyślnie wewnętrzne IP, np. 192.168.1.2, a w iptables dodaję taki wpis:

iptables -A POSTROUTING -t nat -s 192.168.1.2 -o eth0 -j SNAT --to 37.187.98.181

I nie zapomnij o (bo może nie działać):

# 0-normal, 1-OpenVZ
net.ipv4.ip_forward = 1
# 0-normal, 1-OpenVZ
net.ipv4.conf.default.send_redirects = 1

# OpenVZ
net.ipv4.conf.eth0.proxy_arp = 1
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.default.forwarding = 1
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.all.forwarding = 1
kernel.sysrq = 1

Dodatkowo jakbyś chciał, aby dany kontener mógł wychodzić "na zewnątrz" z portami to możesz dodać takie coś:

iptables -A PREROUTING -p tcp -t nat -d 37.187.98.181 -j DNAT --to- 192.168.1.2

Lub dodać też "--dport porty_start:porty_end", jeżeli tylko wybrane porty z kontenera mają być widoczne "na zewnątrz".

Edytowano Luty 8, 2015 przez Desavil (zobacz historię edycji)

[limes 27]

HaPe niestety

 

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables v1.4.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Desavil, niestety taki sam błąd.

 

[kafi 2425]

Wykonujesz to na serwerze-matce, czy w kontenerze?

[limes 27]

kafi, na serwerze-matce wygooglowałem coś ale i nie umiem na razie temu zaradzić.

[Desavil 88]

A zrobiłeś:

Dodaj najlepiej to na końcu pliku: /etc/sysctl.conf, a później wykonaj komendę: sysctl -p

# 0-normal, 1-OpenVZ
net.ipv4.ip_forward = 1
# 0-normal, 1-OpenVZ
net.ipv4.conf.default.send_redirects = 1

# OpenVZ
net.ipv4.conf.eth0.proxy_arp = 1
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.default.forwarding = 1
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.all.forwarding = 1
kernel.sysrq = 1

?

 

Może dlatego nie umie zainicjować tablicy "nat".

Edytowano Luty 12, 2015 przez Desavil (zobacz historię edycji)

[limes 27]

Desavil, niestety nie pomogło, spróbuje wszystko jeszcze raz postawić i dam znać ;-)

Edytowano Luty 15, 2015 przez limes (zobacz historię edycji)

[zool 0]

Witam

 

Tez mam problem z konfiguracją OPENVZ, próbowałem kilkanaście sposobów i nić, nawet robiłem pod ten skrypt https://github.com/qrpike/CentOS-6-Quick-Install-Scripts/blob/master/installOpenVZ.sh i nie mogę się połączyć na zewnątrz, co to może być.

 

[limes] czy udało ci skonfigurować OPENVZ.

 

Dziękuję i pozdrawiam

[Bartosz Z 236]

Zrobienie NAT'u i przekierowanie portu sprowadza się do wykonania dwóch poleceń, które są dostępne na wiki:

https://openvz.org/Using_NAT_for_container_with_private_IPs

[zool 0]

Bardzo dziękuję za szybką odpowiedź, czy te dwa poleceń

# iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to ip_address

# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to ip_address

 

Jak wpiszę do konsoli te dwa polecenia, to jak sprawdzić czy się wpisali do pliku iptables lub systemu, może tak: iptables -S.

 

Jak mam nowy zainstalowany CENTOS 6.3 i przed instalacją OPENVZ, czy muszę coś zainstalować, update, wget, system-config-firewall, system-config-network-tui, czy coś inne, może mi nie wychodzi z OPENVZ bo może jakiś pakiety nie mam zainstalowane.

 

Dziękuję i pozdrawiam

[zool 0]

Witam

 

Może ktoś podpowie jak mam zainstalować OPENVZ i ustawić IP wirtualny na zewnątrz.

 

Dziękuję i pozdrawiam

[Gość Kamikadze]

https://openvz.org/Quick_installation

https://openvz.org/Using_NAT_for_container_with_private_IPs

[zool 0]

Witam

 

Przy wpisaniu „ iptables -A RH-Firewall-1-INPUT -s 192.168.60.0/24 -j ACCEPT „ jest błąd:

[root@server ~]# iptables -A RH-Firewall-1-INPUT -s 192.168.60.0/24 -j ACCEPT

iptables: No chain/target/match by that name.

 

Co to może być.

 

Dziękuję I pozdrawiam

[Gość mariaczi]

Co to może być.

Niewiedza.

By móc dodać regułę do łańcucha, to ten łańcuch musi istnieć.

RH-Firewall-1-INPUT nie jest standardowym łańcuchem, muszi go zatem najpierw założyć.

[zool 0]

[mariaczi], może wpisałem kilka razy "RH-Firewall-1-INPUT", ale jak sprawdzić czy są regułki wpisane.

 

...RH-Firewall-1-INPUT nie jest standardowym łańcuchem, musi go zatem najpierw założyć.

Jak się to robi żeby założyć...

[Gość]

Jak się to robi żeby założyć...

W pierwszej kolejności

iptables --help

lub

man iptables

[zool 0]

Witam

Jeszcze raz wszystko postawiłem tu jest plik, co robiłem.

Nadal jest błąd ‘iptables: No chain/target/match by that name.’.

Wpisałem w konsoli 'iptables --list' i 'iptables -vnL' i proszę zobaczyć że nić nie pokazuję, co to może być.

 

[root@server ~]# iptables -A RH-Firewall-1-INPUT -s 192.168.60.0/24 -j ACCEPT
iptables: No chain/target/match by that name.

[root@server ~]# iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@server ~]# iptables -vnL
Chain INPUT (policy ACCEPT 1212 packets, 168K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 1537 packets, 240K bytes)
pkts bytes target prot opt in out source destination
[root@server ~]#

Dziękuję i pozdrawiam

Edytowano Kwiecień 23, 2015 przez zool (zobacz historię edycji)

[Gość mariaczi]

Skąd "wytrzasnąłeś" tą linię z iptables? Nic tam (gdzie ją znalazłeś) nie było wcześniej?

Szukałeś w stronach man'a jak utworzyć własny łańcuch w iptables?

Jak nie możesz znaleźć w stronach man'a, podaje Ci link on-line http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptablesdo przeczytania. Jak przeczytasz, dowiesz się jak utworzyć własny łańcuch.

[zool 0]

Witam

Od [ Kamikadze ] https://openvz.org/Quick_installation, https://openvz.org/Using_NAT_for_container_with_private_IPs i robiłem to co na dwóch stronach i nadal to samo: No chain/target/match by that name.

Dziwne że jak wpisuję regułki do IPTABLES i potem wpisuję w konsole[ iptables -L ] to niema regułek co wpisałem.

[root@server ~]#  iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Dziękuję i pozdrawiam

Edytowano Kwiecień 24, 2015 przez zool (zobacz historię edycji)

[Gość Kamikadze]

Wpisujesz regułki do jakiegoś łańcucha pewnie, który nie istnieje.