Re: [Sysadmins] рутер на nftables

05.12.2016 15:34, Eugene Prokopiev пишет: > А управлять сетью в контейнерах вместо PVE средствами самих > контейнеров (в т.ч. выдать статические маршруты по dhcp при > необходимости) почему-либо неудобно? > > Я управляю сетью в контейнерах именно средствами самих контейнеров, > правда с

Re: [Sysadmins] рутер на nftables

05.12.2016 15:34, Eugene Prokopiev пишет: Ранее в этой ветке я уже сетовал, что наша реализация PVE переписывает конфиги сетевух systemd-networkd в контейнерах LXC полностью, вместо того, чтоб поменять всего пару секций - [Match] да [Network]. А управлять сетью в контейнерах вместо PVE

Re: [Sysadmins] рутер на nftables

5 декабря 2016 г., 10:02 пользователь В.А. Илларионов написал: > 05.12.2016 14:44, Eugene Prokopiev пишет: >>> >>> ... невозможности прибить >>> стат.маршруты к интерфейсам рутера без самописного шаманства. >> >> Не очень понял, где тут место шаманству и почему штатных

Re: [Sysadmins] рутер на nftables

05.12.2016 14:44, Eugene Prokopiev пишет: ... невозможности прибить стат.маршруты к интерфейсам рутера без самописного шаманства. Не очень понял, где тут место шаманству и почему штатных возможностей systemd-networkd недостаточно? Ранее в этой ветке я уже сетовал, что наша реализация PVE

Re: [Sysadmins] рутер на nftables

5 декабря 2016 г., 9:32 пользователь В.А. Илларионов написал: > ... невозможности прибить > стат.маршруты к интерфейсам рутера без самописного шаманства. Не очень понял, где тут место шаманству и почему штатных возможностей systemd-networkd недостаточно? -- WBR, Eugene

Re: [Sysadmins] рутер на nftables

05.12.2016 14:07, Eugene Prokopiev пишет: 3) как все вышеперечисленное связано с openresolv? Просто я его не использую, может я что-то упускаю? Про ipv6 ничего сказать не могу, т.к. не использую его, а отключение некоторое время назад для systemd-networkd и правда было проблемой (а во многих

Re: [Sysadmins] рутер на nftables

5 декабря 2016 г., 8:29 пользователь Alexei Takaseev написал: >> Реальная необходимость перезагрузки для того, чтоб убедиться в >> правильном поднятии всего хоть чуть-чуть нетривиально >> наконфигуренного >> - это противно конечно, однако зачем при наличии systemd-networkd >>

Re: [Sysadmins] рутер на nftables

- Исходное сообщение - > От: "Eugene Prokopiev" <e...@itx.ru> > Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org> > Отправлено: Понедельник, 5 Декабрь 2016 г 13:17:04 > Тема: Re: [Sysadmins] рутер на nftables > > 2

Re: [Sysadmins] рутер на nftables

2 декабря 2016 г., 7:41 пользователь Alexei Takaseev написал: > Использование на серверах systemd-networkd это как-то... ну чень > оригинально. > Учитывая как лихо авторы там размахивают шашками поклав на совместимость. Год > сидел > на рабочей и домашней машине на этом

Re: [Sysadmins] рутер на nftables

02.12.2016 16:12, Alexei Takaseev пишет: А вот фейл2бан на нфтаблицах работает отлично - только жаль, что: а) он у нас старый и акции с нфтаблицами пришлось добавлять руками; б) прибит зависимостями наглухо к иптаблицам, и снести их можно только с --nodeps; >>> Чем это

Re: [Sysadmins] рутер на nftables

- Исходное сообщение - > От: "В.А. Илларионов" <gbimo...@gmail.com> > Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org> > Отправлено: Пятница, 2 Декабрь 2016 г 14:58:46 > Тема: Re: [Sysadmins] рутер на nftables

Re: [Sysadmins] рутер на nftables

02.12.2016 14:16, Alexei Takaseev пишет: Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на РРР-соединениях. У меня лишь одни подопечные до сих пор на АДСЛ остались, остальным не актуально. А вот фейл2бан на нфтаблицах работает отлично - только жаль, что: а) он у нас старый и акции

Re: [Sysadmins] рутер на nftables

- Исходное сообщение - > От: "В.А. Илларионов" <gbimo...@gmail.com> > Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org> > Отправлено: Пятница, 2 Декабрь 2016 г 13:23:19 > Тема: Re: [Sysadmins] рутер на nftables

Re: [Sysadmins] рутер на nftables

02.12.2016 12:52, Alexei Takaseev пишет: Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару неясностей в таблице mangle: 1. Цепочка forward TCPMSS tcp -- 0.0.0.0/00.0.0.0/0tcp flags:0x06/0x02 TCPMSS clamp to PMTU 2. Цепочка postrouting TTLall --

Re: [Sysadmins] рутер на nftables

- Исходное сообщение - > От: "Вадим Илларионов" > Кому: sysadmins@lists.altlinux.org > Отправлено: Среда, 30 Ноябрь 2016 г 23:22:30 > Тема: [Sysadmins] рутер на nftables > > Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару неясностей > в > таблице mangle:

Re: [Sysadmins] рутер на nftables

- Исходное сообщение - > От: "Вадим Илларионов" <gbimo...@gmail.com> > Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org> > Отправлено: Четверг, 1 Декабрь 2016 г 21:37:09 > Тема: Re: [Sysadmins] рутер на nftables >

Re: [Sysadmins] рутер на nftables

По всему выходит, я тут сам с собой переписываюсь. Что ж, хоть пообщаться с умным человеком... :) -- Мимо крокодил. WBR, rednex CIO. JID = Skype = $local_part@ Viber = +7(964)103-65-67 Опции rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой матери!"

Re: [Sysadmins] рутер на nftables

Выяснилась неприятная деталь: при переводе контейнера с etcnet на systemd-networkd проксмокс, вместо того, чтобы заменять в сетевых конфигах контейнера только секции [Match] и [Network], переписывает их полностью. Стало быть, привязка к интерфейсам контейнера статических маршрутов и ДНС-опций

Re: [Sysadmins] рутер на nftables

30.11.2016 23:22, Вадим Илларионов пишет: > Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару неясностей в > таблице mangle: > > 1. Цепочка forward > TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU > > 2. Цепочка postrouting > TTLall -- 0.0.0.0/0 0.0.0.0/0