Home » International » Russian » Вопросы по Iptables
| Вопросы по Iptables [message #24482] |
Wed, 05 December 2007 14:11  |
tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
|
Junior Member |
|
|
У меня HN на Centos-5, а в VE стоит Centos-4 (ну не нашел я темплейта под Centos-5, кажись, его вообще пока нет). Одной из задач VE должен быть корпоративный гейтвей/файрвол, выпускающий народ в инет (там еще куча извратов с авторизацией в NDS). В данный момент iptables в виртуалке поднял, однако при каждом запуске идет ругань, что не может найти модули: Unknown iptables moule: ip_gre и т.д. (на штук 6-7 модулей, могу список привести). При этом почти все из них на HN есть и загружены, однако загрузить их в виртуалку не удается.
Вопросы:
1. Имеет ли значение разница версий между HN и виртуалкой? (подозреваю что да, причем существенная - 1.3.5 и 1.2.11)
2. Имеет ли смысл вообще поднимать gateway/firewall в виртуальной машине? В смысле, будет ли это дело корректно работать? Версию можно и Centos-4 поставить, не принципиально.
3. Какие-нибудь советы или рекоменгдации? Приму с благодарностью (переход на Виндовс и прочий интим не предлагать!  )
Dum vivimus, vivamus!
|
|
|
|
|
|
|
|
|
|
| Re: Вопросы по Iptables [message #24545 is a reply to message #24544] |
Thu, 06 December 2007 08:00  |
tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
|
Junior Member |
|
|
Все понятно. Значит, бум переустанавливать ноду на соответствующую версию. Благо, работа еще в самом начале и это пока можно сделать безболезненно.
Вопрос: я уже писал, что поднимаю это дело на центосе. Мне тут товарищи настоятельно советуют вместо него АлтЛинукс Сервер 4 использовать (в качестве нода). Типа секурнее и т.д. Каково Ваше мнение по этому поводу?
Насчет precreated - я-то его нашел, однако не понял, как использовать, кроме того, было предупреждение, что его не получится обновлять. Так что я лучше на 4-ку... Или Алт?
Блин, вот поставили перед выбором... )
Dum vivimus, vivamus!
|
|
|
|
| Re: Вопросы по Iptables [message #24546 is a reply to message #24545] |
Thu, 06 December 2007 08:08 |
dev
Messages: 1693
Registered: September 2005
Location: Moscow
|
Senior Member |
|
|
| tgasoft wrote on Thu, 06 December 2007 11:00 |
Все понятно. Значит, бум переустанавливать ноду на соответствующую версию. Благо, работа еще в самом начале и это пока можно сделать безболезненно.
Вопрос: я уже писал, что поднимаю это дело на центосе. Мне тут товарищи настоятельно советуют вместо него АлтЛинукс Сервер 4 использовать (в качестве нода). Типа секурнее и т.д. Каково Ваше мнение по этому поводу?
Насчет precreated - я-то его нашел, однако не понял, как использовать, кроме того, было предупреждение, что его не получится обновлять. Так что я лучше на 4-ку... Или Алт?
Блин, вот поставили перед выбором... )
|
1. Альт или CentOS честно говоря не знаю большая ли разница... С точки зрения секьюрности, вряд ли большая :@) Единственное, Альт будет удобен тем что они официально поддерживают OpenVZ и плюс в наших часовых поясах, вероятно это удобнее с точки зрения поддержки. Да и вообще, они хорошие и профессиональные товарищи, так что дело с ними иметь должно быть приятно и просто.
2. precreated template надо просто положить в /vz/template/cache или что-то типа того. Обновлять их можно, это глюк где-то. Обновлять можно и VE на базе template'а, и сам template обновляется через VE (т.е. создаете VE, апдейтите, запаковываете как новый темплит).
[Updated on: Thu, 06 December 2007 08:09] Report message to a moderator |
|
|
|
|
|
| Re: Вопросы по Iptables [message #24562 is a reply to message #24547] |
Thu, 06 December 2007 11:39 |
tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
|
Junior Member |
|
|
| dev wrote on Thu, 06 December 2007 03:17 |
> 1. Имеет ...
работать корректно будет, хотя я лично не понимаю почему не делать firewall в VE0 - тогда он будет распространяться на ВСЕХ, включая все VE.
Ну если очень хочется, то можно делать и в VE :@)
|
Ну, насколько я помню, одна из настоятельных рекомендаций - в ноде не должно быть ничего лишнего, а все сервисы должны запускаться на виртуалках. Ну и в плане миграции, конечно, тоже удобнее.
| dev wrote on Thu, 06 December 2007 03:17 |
1. strace -f -o out <команда iptables> которая выдает вам ошибки.
2. как временный workaround выгрузить эти модули из VE0
3. или проапдейтить iptables.
|
№vzlist -a
Warning: Unknown iptable module: ip_nat_proto_gre, skipped
Warning: Unknown iptable module: ip_nat_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_proto_gre, skipped
Warning: Unknown iptable module: ip_gre, skipped
Warning: Unknown iptable module: ipt_MARK, skipped
Warning: Unknown iptable module: ipt_mark, skipped
VEID NPROC STATUS IP_ADDR HOSTNAME
777 20 running 10.10.2.21 -
888 - stopped - -
Попытка вставить в конфиг виртуалки список модулей:
#./ipt
+ vzctl set 777 --iptables ip_conntrack_proto_gre --iptables ip_gre --iptables ipt_REDIRECT --iptables iptable_nat --iptables ipt_MARK --iptables iptable_mangle --iptables ipt_REJECT --iptables ipt_mark --iptables ipt_LOG --iptables ipt_limit --iptables ipt_state --iptables ip_conntrack --iptables iptable_filter --iptables ip_tables --iptables ip_nat_proto_gre --iptables ip_nat_pptp --iptables ip_conntrack_pptp
Warning: Unknown iptable module: ip_nat_proto_gre, skipped
Warning: Unknown iptable module: ip_nat_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_proto_gre, skipped
Warning: Unknown iptable module: ip_gre, skipped
Warning: Unknown iptable module: ipt_MARK, skipped
Warning: Unknown iptable module: ipt_mark, skipped
Warning: Unknown iptable module: ip_conntrack_proto_gre, skipped
Bad parameter for --iptables: ip_conntrack_proto_gre
(выделение цветом моё)
Если исключить этот модуль, ругань идет на следующий и т.д.
[root@newrose opt]# rpm -q iptables
iptables-1.3.5-1.2.1
[root@newrose opt]# uname -a
Linux newrose.intra 2.6.18-53.el5.028stab051.1ent #1 SMP Fri Nov 30 05:03:02 MSK 2007 i686 i686 i386 GNU/Linux
[root@newrose opt]# vzctlexec 777 rpm -q iptables
bash: vzctlexec: command not found
[root@newrose opt]# vzctl exec 777 rpm -q iptables
Warning: Unknown iptable module: ip_nat_proto_gre, skipped
Warning: Unknown iptable module: ip_nat_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_proto_gre, skipped
Warning: Unknown iptable module: ip_gre, skipped
Warning: Unknown iptable module: ipt_MARK, skipped
Warning: Unknown iptable module: ipt_mark, skipped
iptables-1.2.11-3.1.RHEL4
Dum vivimus, vivamus!
|
|
|
|
|
|
| Re: Вопросы по Iptables [message #24564 is a reply to message #24562] |
Thu, 06 December 2007 11:57 |
dev
Messages: 1693
Registered: September 2005
Location: Moscow
|
Senior Member |
|
|
> Ну, насколько я помню, одна из настоятельных рекомендаций - в
> ноде не должно быть ничего лишнего, а все сервисы должны
> запускаться на виртуалках.
> Ну и в плане миграции, конечно, тоже удобнее.
ну... firewall это просто ядерная функциональность, поэтому я наверное плохо ее воспринимаю как "сервис". В принципе да, можно и и в VE. Особенно если хочется мигрировать firewall :@))
Тогда для надежности рекомендую иметь две сетевых карты:
одну - для internet соединения отдать эксклюзивно этой самое VE, а через вторую сетевуху ходить в локалку.
В общем, дело ваше.
все что касается warning'ов. Это ругаются VZ команды, т.к. вы похоже руками добавили в конфиг VE iptables модули которых нет в списке. Т.е. модули есть, но vzctl их не позволяет задать.
а вы хотите использовать GRE?
|
|
|
|
| Re: Вопросы по Iptables [message #24568 is a reply to message #24546] |
Thu, 06 December 2007 12:20 |
tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
|
Junior Member |
|
|
[quote title=dev wrote on Thu, 06 December 2007 03:08]| tgasoft wrote on Thu, 06 December 2007 11:00 |
...
2. precreated template надо просто положить в /vz/template/cache или что-то типа того. Обновлять их можно, это глюк где-то. Обновлять можно и VE на базе template'а, и сам template обновляется через VE (т.е. создаете VE, апдейтите, запаковываете как новый темплит).
|
Читаем здесь: http://wiki.openvz.org/OS_template_cache_preparation
"As an alternative to creating a cache using template metadata, you can use precreated template cache taken from Downloads » Templates » Precreated, or directly from download.openvz.org/template/precreated, or from one of the mirrors.
However, this option is not recommended for production systems since without installing template metadata you will not be able to update your template cache. "
Так что это не глюк, а фича... 
Если же эта инфа устарела и Вы таки правы (а это был бы не худший вариант!), подскажите, пожалуйста, где прочитать как это сделать. В мануале ничего похожего нет.
Dum vivimus, vivamus!
|
|
|
|
|
|
| Re: Вопросы по Iptables [message #24576 is a reply to message #24564] |
Thu, 06 December 2007 13:52 |
tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
|
Junior Member |
|
|
| dev wrote on Thu, 06 December 2007 06:57 |
> Ну, насколько я помню, одна из настоятельных рекомендаций - в
> ноде не должно быть ничего лишнего, а все сервисы должны
> запускаться на виртуалках.
> Ну и в плане миграции, конечно, тоже удобнее.
ну... firewall это просто ядерная функциональность, поэтому я наверное плохо ее воспринимаю как "сервис". В принципе да, можно и и в VE. Особенно если хочется мигрировать firewall :@))
Тогда для надежности рекомендую иметь две сетевых карты:
одну - для internet соединения отдать эксклюзивно этой самое VE, а через вторую сетевуху ходить в локалку.
|
Само собой. Так и есть. Я даже думал третью поставить и её эксклюзивно виртуалке с файрволлом отдать...
| dev wrote on Thu, 06 December 2007 06:57 |
В общем, дело ваше.
все что касается warning'ов. Это ругаются VZ команды, т.к. вы похоже руками добавили в конфиг VE iptables модули которых нет в списке. Т.е. модули есть, но vzctl их не позволяет задать.
а вы хотите использовать GRE?
|
Скорее всего хотим, во всяком случае сейчас он используется. Молули есть только в конфиге ноды /etc/vz/vz.conf, в конфиг виртуалки добавить их не могу. Можно конечно ручками вписать, но не факт что оно работать будет.
Так что там с разницей версий iptables?
Dum vivimus, vivamus!
|
|
|
|
|
|
| Re: Вопросы по Iptables [message #24585 is a reply to message #24576] |
Thu, 06 December 2007 14:13 |
vaverin
Messages: 708
Registered: September 2005
|
Senior Member |
|
|
| tgasoft wrote on Thu, 06 December 2007 16:52 |
| dev wrote on Thu, 06 December 2007 06:57 |
> Ну, насколько я помню, одна из настоятельных рекомендаций - в
> ноде не должно быть ничего лишнего, а все сервисы должны
> запускаться на виртуалках.
> Ну и в плане миграции, конечно, тоже удобнее.
ну... firewall это просто ядерная функциональность, поэтому я наверное плохо ее воспринимаю как "сервис". В принципе да, можно и и в VE. Особенно если хочется мигрировать firewall :@))
Тогда для надежности рекомендую иметь две сетевых карты:
одну - для internet соединения отдать эксклюзивно этой самое VE, а через вторую сетевуху ходить в локалку.
|
Само собой. Так и есть. Я даже думал третью поставить и её эксклюзивно виртуалке с файрволлом отдать...
|
Мне нравится эта идея. Но хочу заметить, что в этом случае online миграция VE на другую ноду будет невозможной. Хотя если для Вас небольшой downtime допустим -- это не такая уж и большая потеря.
C уважением,
Василий Аверин
|
|
|
|
Goto Forum:
Current Time: Sat Dec 02 15:33:18 GMT 2023
Total time taken to generate the page: 0.02089 seconds
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
