Home » International » Russian » Сеть в OpenVZ
Re: Сеть в OpenVZ [message #21659 is a reply to message #21644] |
Fri, 12 October 2007 18:18 |
erain
Messages: 7 Registered: October 2007 Location: Moscow
|
Junior Member |
|
|
vaverin wrote on Fri, 12 October 2007 17:34 |
erain wrote on Fri, 12 October 2007 16:33 | Я удалил arp entry, доступ с HN и eth1 к VE остался без изменений (остались ли видный IP VE на eth0, проверить немогу). NAT на HN поднят.
|
Внешние входящие ваш nat скорее всего режет? Поэтому доступа снаружи IMHO Вам волноваться не стоит. А вот Вы наружу лишнюю информацию вполне можете кидать: при рестарте VE и ARP entry на ноде обновится, и arpsend пошлет на оба интерфейса оповещение о появлении нового IP, и ARP с VE IP опять уйдет наружу.
NAT-ом это к сожалению не закрывается. нужно либо скрипты править или arptable настраивать.
С уважением,
Василий Аверин
|
Я не пробрасывал порты, поэтому, из eth0 за NAT никто попасть не сможет.
maratrus wrote on Fri, 12 October 2007 18:34 | Здравствуйте,
1. Правильно ли я понимаю, что вы не хотите, чтобы информация о ваших VPS шла на хосты в eth0?
2. Скорее всего, дело обстоит так. arp запрос применяется для общения хостов в одной подсети, поэтому:
а) Если "десктоп на eth1" и VPS находятся в разных подсетях, то при удалении entry из arp таблицы, доступ к VPS будет возможен, если пакет дойдет до маршрутизатора (в данном случае, по-видимому, так), иными словами, все зависит от маршрутизации.
б) Если "десктоп на eth1" и VPS находятся в одной подсети, то при удалении entry из arp таблицы как на десктопе, так и на маршрутизаторе, доступ к VPS окажется невозможным, если не указать маршрут непостредственно.
3. Чтобы arpsend при старте/рестарте VPS не посылал пакеты наружу, посмотрите, пожалуйста, следующий скрипт
/usr/lib/vzctl/scripts/vps-functions.
В функциях vzarpipdetect() и vzarpipset(), быть может, Вам придется поправить так, чтобы arpsend рассылал пакеты не на все девайсы, а только на нужные.
4. Скорее всего, NAT нужно будет использовать, так как, как я понимаю, вы хотите иметь из VPS доступ к хостам eth0.
5. Нужно аккуратно назначать IP адреса для VPS. Пусть, например, ваша VPS застоплена, но вы пытаетесь достучаться до нее из "десктопа на eth1". Запрос дойдет до маршрутизатора, а дальше, по-видимому, уйдет наружу через eth0. И еще хуже, если кто-нибудь на него ответит.
|
Здравствуйте.
1. Да, именно этого я и добиваюсь. Мне нужно, что бы VPS-ки видели внешний мир (eth0) только через NAT. Возможно, в данном случае, нужно использовать veth. Но на этом форуме проскакивало сообщение о том, что veth проигрывает venet по производительности.
2. После удаления entry в arp-таблице, маршрутизатор перестает перехватывать бродкасты и тем самым выдавать себя за 172.16.0.1, поэтому с eth1 становится недоступна VPS.
3. Спасибо за совет, посмотрю.
4. Да, из VPS нужен доступ к внешнему миру (eth0), но только обезательно через NAT (мне не нужно делать из маршрутизатора свитч, как получается с использованием venet).
5. Это и логично. Не получив ответа в своей подсети пакет пойдет через маршрутизатор.
|
|
|
|
|
Сеть в OpenVZ
By: erain on Tue, 09 October 2007 20:54
|
|
|
Re: Сеть в OpenVZ
By: erain on Thu, 11 October 2007 19:59
|
|
|
Re: Сеть в OpenVZ
By: erain on Fri, 12 October 2007 10:44
|
|
|
Re: Сеть в OpenVZ
By: maratrus on Fri, 12 October 2007 11:16
|
|
|
Re: Сеть в OpenVZ
By: erain on Fri, 12 October 2007 12:07
|
|
|
Re: Сеть в OpenVZ
By: vaverin on Fri, 12 October 2007 12:22
|
|
|
Re: Сеть в OpenVZ
By: erain on Fri, 12 October 2007 12:33
|
|
|
Re: Сеть в OpenVZ
By: vaverin on Fri, 12 October 2007 13:34
|
|
|
Re: Сеть в OpenVZ
By: maratrus on Fri, 12 October 2007 14:34
|
|
|
Re: Сеть в OpenVZ
By: erain on Fri, 12 October 2007 18:18
|
Goto Forum:
Current Time: Sun Oct 20 16:30:03 GMT 2024
Total time taken to generate the page: 0.05281 seconds
|