В Срд, 10/03/2010 в 15:04 +0300, Artem Chuprina пишет: > Строить файрвол внутри vz-ки я пробовал. Мне не понравилось. В одном > случае так и живет пока, потому что HN не мой. Но практика показывает, > что лучше строить файрвол на HN. Спасибо за ценный совет, но обстоятельства вынуждают меня строить файрвол на одной из машин в контейнере.
Некоторое время помучавшись с veth, я пробросил в контейнер не интерфейс, а целиком network device: vzctl set 1001 --netdev_add eth0 --save #да, eth0 будет использован файрволом внутри контейнера. eth0, как и положено исчез на HN и появился в контейнере. На нём сконфигурированы нужные вланы - всё работает. Дошло дело до настройки собственно файрвола и iptables. На HN: m1:~# iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination На файрволе в контейнере: fire:~# iptables -L -t nat FATAL: Could not load /lib/modules/2.6.26-2-openvz-686/modules.dep: No such file or directory iptables v1.4.2: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Ну вот, пока письмо писал, сам всё выяснил: нужно чтобы необходимые модули были загружены на HN до запуска CT (я записал их в /etc/modules), и были указаны в $ cat /etc/vz/conf/1001.conf | grep IPTABLES IPTABLES="ip_tables ipt_REJECT ip_conntrack ipt_conntrack iptable_nat " Этот параметр переопределяет соответствующий из файла /etc/vz/vz.conf -- DamirX >
