Проблема с ipt_owner [message #34585] |
Mon, 19 January 2009 13:57 |
GHua
Messages: 1 Registered: January 2009
|
Junior Member |
|
|
Здравствуйте.
CentOS release 5 (Final)
Linux host.net 2.6.18-53.1.6.el5.028stab053.6 #1 SMP Mon Feb 11 20:14:31 MSK 2008 x86_64 x86_64 x86_64 GNU/Linux
Понадобился в OpenVZ контейнере модуль ipt_owner.
Добавил его в vz.conf, загрузил через modprobe, сделал рестарт сервису vz.
Во время рестарта прошло сообщение:
Warning: Unknown iptable module: ipt_owner, skipped
Но правило с использованием модуля в контейнере прошло.
Проблема в том, что требуется заворачивать все исходящие tcp коннекты на локальный сервис, но что-бы он сам при попытке коннекта не попадал в петлю его стоит пропустить мимо.
Добавляю два следующих правила в таком-же порядке:
iptables -A OUTPUT -p tcp -o venet0 --dport 25 -m owner --uid-owner=8 --gid-owner=8 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -o venet0 --dport 25 -j DNAT --to-destination 127.0.0.1:2026
Но к сожалению при попытке коннекта из под этого юзера в мир происходит следующее:
mail@host:~$ id
uid=8(mail) gid=8(mail) groups=8(mail)
mail@host:~$ nc host.ru 25
554 smtp-proxy.isp Too many connections from your host, try again later
Т.е. отвечает локальный демон, а мне нужно, что-бы отвечал удаленный SMTP сервис к которому собственно идет обращение.
Вывод: первое правило не работает.
Подскажите можно ли пользоваться модулем ipt_owner в контейнере openvz и если можно то где я не прав?
Благодарю за внимание...
|
|
|