OpenVZ Forum


Home » International » Russian » Сеть в OpenVZ
Re: Сеть в OpenVZ [message #21659 is a reply to message #21644] Fri, 12 October 2007 18:18 Go to previous message
erain is currently offline  erain
Messages: 7
Registered: October 2007
Location: Moscow
Junior Member
vaverin wrote on Fri, 12 October 2007 17:34

erain wrote on Fri, 12 October 2007 16:33

Я удалил arp entry, доступ с HN и eth1 к VE остался без изменений (остались ли видный IP VE на eth0, проверить немогу). NAT на HN поднят.

Внешние входящие ваш nat скорее всего режет? Поэтому доступа снаружи IMHO Вам волноваться не стоит. А вот Вы наружу лишнюю информацию вполне можете кидать: при рестарте VE и ARP entry на ноде обновится, и arpsend пошлет на оба интерфейса оповещение о появлении нового IP, и ARP с VE IP опять уйдет наружу.

NAT-ом это к сожалению не закрывается. нужно либо скрипты править или arptable настраивать.

С уважением,
Василий Аверин


Я не пробрасывал порты, поэтому, из eth0 за NAT никто попасть не сможет.

maratrus wrote on Fri, 12 October 2007 18:34

Здравствуйте,

1. Правильно ли я понимаю, что вы не хотите, чтобы информация о ваших VPS шла на хосты в eth0?

2. Скорее всего, дело обстоит так. arp запрос применяется для общения хостов в одной подсети, поэтому:
а) Если "десктоп на eth1" и VPS находятся в разных подсетях, то при удалении entry из arp таблицы, доступ к VPS будет возможен, если пакет дойдет до маршрутизатора (в данном случае, по-видимому, так), иными словами, все зависит от маршрутизации.
б) Если "десктоп на eth1" и VPS находятся в одной подсети, то при удалении entry из arp таблицы как на десктопе, так и на маршрутизаторе, доступ к VPS окажется невозможным, если не указать маршрут непостредственно.

3. Чтобы arpsend при старте/рестарте VPS не посылал пакеты наружу, посмотрите, пожалуйста, следующий скрипт

/usr/lib/vzctl/scripts/vps-functions.

В функциях vzarpipdetect() и vzarpipset(), быть может, Вам придется поправить так, чтобы arpsend рассылал пакеты не на все девайсы, а только на нужные.

4. Скорее всего, NAT нужно будет использовать, так как, как я понимаю, вы хотите иметь из VPS доступ к хостам eth0.
5. Нужно аккуратно назначать IP адреса для VPS. Пусть, например, ваша VPS застоплена, но вы пытаетесь достучаться до нее из "десктопа на eth1". Запрос дойдет до маршрутизатора, а дальше, по-видимому, уйдет наружу через eth0. И еще хуже, если кто-нибудь на него ответит.



Здравствуйте.

1. Да, именно этого я и добиваюсь. Мне нужно, что бы VPS-ки видели внешний мир (eth0) только через NAT. Возможно, в данном случае, нужно использовать veth. Но на этом форуме проскакивало сообщение о том, что veth проигрывает venet по производительности.
2. После удаления entry в arp-таблице, маршрутизатор перестает перехватывать бродкасты и тем самым выдавать себя за 172.16.0.1, поэтому с eth1 становится недоступна VPS.
3. Спасибо за совет, посмотрю.
4. Да, из VPS нужен доступ к внешнему миру (eth0), но только обезательно через NAT (мне не нужно делать из маршрутизатора свитч, как получается с использованием venet).
5. Это и логично. Не получив ответа в своей подсети пакет пойдет через маршрутизатор.

Report message to a moderator

[Message index]
 
Read Message
Read Message
Read Message
Read Message
Read Message
Read Message
Read Message
Read Message
Read Message
Read Message
Previous Topic: DVDRip ведет к падению
Next Topic: vzmemcheck - сортировка нод
Goto Forum:
  

[ Syndicate this forum (XML) ] [ RSS ] [ PDF ]

Current Time: Sun Oct 20 16:30:03 GMT 2024

Total time taken to generate the page: 0.05281 seconds
Powered by FUDforum Powered by Virtuozzo Containers