Re: Как заставить работать NAT и контейнере? [message #37663 is a reply to message #37640] |
Thu, 08 October 2009 08:13 |
lithium
Messages: 78 Registered: April 2007
|
Member |
|
|
Еще, судя по всему, не работает отслеживание соединений в контейнере. В контейнере запущено два экземпляра OpenVPN, нужно сделать между ними маршрутизацию. Первое правило в FORWARD стоит
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
второе было
-A FORWARD -i tun0 -o tun1 -m state --state NEW -j ACCEPT
Все это не работало.
Путем различных манипуляций пришел к выводу что не работает именно отслеживание соединений, т.к. при явном разрешении прохождения пакетов туда и обратно:
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
53 7672 ACCEPT all -- tun0 tun1 0.0.0.0/0 0.0.0.0/0
49 8200 ACCEPT all -- tun1 tun0 0.0.0.0/0 0.0.0.0/0
все работает, но видно, что по первому правилу не проходит ни один пакет.
P.S. Не знаю, как должно быть, но файл /proc/net/ip_conntrack на HN есть (но не содержит записей с нужными ip-адресами), в контейнере такого файла нет.
[Updated on: Thu, 08 October 2009 08:29] Report message to a moderator
|
|
|