OpenVZ Forum: Russian » Проблемы с NAT внутри контейнера

Home » International » Russian » Проблемы с NAT внутри контейнера (c GRE и сетевыми устройствами)

Show: Today's Messages :: Show Polls :: Message Navigator
E-mail to friend

Проблемы с NAT внутри контейнера [message #47378]

Tue, 07 August 2012 16:06

mkrentovskiy
Messages: 4
Registered: August 2012

Junior Member

Коллеги, здравствуйте.

Возникла определенная проблема с NAT внутри контейнера. У меня есть контейнер с дополнительным сетевым интерфейсом (NETIF), через который приходит GRE-туннель. Нужно пакеты из этого туннеля заворачивать на установленный в контейнере прокси-сервер.

Как я делаю: говорю внутри контейнера
iptables -t nat -I PREROUTING -i gre0 -p tcp -j DNAT --to 172.16.0.95:3128

(там только пакеты на 80-й порт, поэтому таки вольности допустимы), где 172.16.0.95 - адрес сетевого интерфейса.

После чего смотрю tcpdump-ом: пакеты приходят на gre0, после чего магическим образом пропадают - на 172.16.0.95 их нет.

На хосте и в контейнере - Debian Squeeze, OpenVZ из коробки.
Разрешения в /etc/vz/vz.conf:

IPTABLES="iptable_filter iptable_mangle ipt_limit ipt_multiport ipt_tos ipt_TOS ipt_REJECT ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_LOG ipt_length ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_conntrack ipt_state ipt_helper iptable_nat ip_nat_ftp ip_nat_irc"

Куда нужно смотреть и где рыть?

Report message to a moderator

Re: Проблемы с NAT внутри контейнера [message #47633 is a reply to message #47378]

Mon, 20 August 2012 17:55

RXL_
Messages: 147
Registered: July 2009
Location: Moscow/Russia

Senior Member

$/sbin/iptables -j DNAT --help
...
DNAT v1.3.5 options:
 --to-destination <ipaddr>[-<ipaddr>][:port-port]
                                Address to map destination to.
                                (You can use this more than once)

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.

Report message to a moderator