OpenVZ Forum


Home » International » Russian » Вопросы по Iptables
Вопросы по Iptables [message #24482] Wed, 05 December 2007 14:11 Go to next message
tgasoft is currently offline  tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
Junior Member

From: *geocell.com.ge
У меня HN на Centos-5, а в VE стоит Centos-4 (ну не нашел я темплейта под Centos-5, кажись, его вообще пока нет). Одной из задач VE должен быть корпоративный гейтвей/файрвол, выпускающий народ в инет (там еще куча извратов с авторизацией в NDS). В данный момент iptables в виртуалке поднял, однако при каждом запуске идет ругань, что не может найти модули: Unknown iptables moule: ip_gre и т.д. (на штук 6-7 модулей, могу список привести). При этом почти все из них на HN есть и загружены, однако загрузить их в виртуалку не удается.

Вопросы:

1. Имеет ли значение разница версий между HN и виртуалкой? (подозреваю что да, причем существенная - 1.3.5 и 1.2.11)

2. Имеет ли смысл вообще поднимать gateway/firewall в виртуальной машине? В смысле, будет ли это дело корректно работать? Версию можно и Centos-4 поставить, не принципиально.

3. Какие-нибудь советы или рекоменгдации? Приму с благодарностью (переход на Виндовс и прочий интим не предлагать! Smile)


Dum vivimus, vivamus!
Re: Вопросы по Iptables [message #24527 is a reply to message #24482] Wed, 05 December 2007 21:51 Go to previous messageGo to next message
Valmont is currently offline  Valmont
Messages: 225
Registered: September 2005
Senior Member
From: *dialup.corbina.ru
Please, check this post

http://forum.openvz.org/index.php?t=msg&goto=22489&# msg_22489

and also here
http://forum.openvz.org/index.php?t=search&

Smile
Re: Вопросы по Iptables [message #24543 is a reply to message #24527] Thu, 06 December 2007 07:04 Go to previous messageGo to next message
tgasoft is currently offline  tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
Junior Member

From: *geocell.com.ge
Thanx, but the second one is empty Sad

Dum vivimus, vivamus!
Re: Вопросы по Iptables [message #24544 is a reply to message #24482] Thu, 06 December 2007 07:51 Go to previous messageGo to next message
vaverin is currently offline  vaverin
Messages: 694
Registered: September 2005
Senior Member
From: *sw.ru
precreated centos5 template можно взять отсюда
http://openvz.org/download/template/cache/

Я так понимаю, что iptables ругаетсся изза того, что старая версия ничего про новые модули не знает. Работать с этими модулями она не сможет, но если вы не планируете их использовать -- на эту ругать можно спокойно закрыть глаза.

firewall должен корректно работать внутри VE, но на мой взгляд корпоративный gateway лучше все-таки делать на ноде. Однако размещение gateway внутри VE тоже имеет ряд приемуществ: например в случае необходимости эту VE можно запросто смигрировать на другую ноду.

Василий Аверин
Re: Вопросы по Iptables [message #24545 is a reply to message #24544] Thu, 06 December 2007 08:00 Go to previous messageGo to next message
tgasoft is currently offline  tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
Junior Member

From: *geocell.com.ge
Все понятно. Значит, бум переустанавливать ноду на соответствующую версию. Благо, работа еще в самом начале и это пока можно сделать безболезненно.

Вопрос: я уже писал, что поднимаю это дело на центосе. Мне тут товарищи настоятельно советуют вместо него АлтЛинукс Сервер 4 использовать (в качестве нода). Типа секурнее и т.д. Каково Ваше мнение по этому поводу?

Насчет precreated - я-то его нашел, однако не понял, как использовать, кроме того, было предупреждение, что его не получится обновлять. Так что я лучше на 4-ку... Или Алт?

Блин, вот поставили перед выбором... Smile)


Dum vivimus, vivamus!
Re: Вопросы по Iptables [message #24546 is a reply to message #24545] Thu, 06 December 2007 08:08 Go to previous messageGo to next message
dev is currently offline  dev
Messages: 1693
Registered: September 2005
Location: Moscow
Senior Member

From: *sw.ru
tgasoft wrote on Thu, 06 December 2007 11:00

Все понятно. Значит, бум переустанавливать ноду на соответствующую версию. Благо, работа еще в самом начале и это пока можно сделать безболезненно.

Вопрос: я уже писал, что поднимаю это дело на центосе. Мне тут товарищи настоятельно советуют вместо него АлтЛинукс Сервер 4 использовать (в качестве нода). Типа секурнее и т.д. Каково Ваше мнение по этому поводу?

Насчет precreated - я-то его нашел, однако не понял, как использовать, кроме того, было предупреждение, что его не получится обновлять. Так что я лучше на 4-ку... Или Алт?

Блин, вот поставили перед выбором... Smile)



1. Альт или CentOS честно говоря не знаю большая ли разница... С точки зрения секьюрности, вряд ли большая :@) Единственное, Альт будет удобен тем что они официально поддерживают OpenVZ и плюс в наших часовых поясах, вероятно это удобнее с точки зрения поддержки. Да и вообще, они хорошие и профессиональные товарищи, так что дело с ними иметь должно быть приятно и просто.

2. precreated template надо просто положить в /vz/template/cache или что-то типа того. Обновлять их можно, это глюк где-то. Обновлять можно и VE на базе template'а, и сам template обновляется через VE (т.е. создаете VE, апдейтите, запаковываете как новый темплит).


http://static.openvz.org/userbars/openvz-developer.png

[Updated on: Thu, 06 December 2007 08:09]

Report message to a moderator

Re: Вопросы по Iptables [message #24547 is a reply to message #24482] Thu, 06 December 2007 08:17 Go to previous messageGo to next message
dev is currently offline  dev
Messages: 1693
Registered: September 2005
Location: Moscow
Senior Member

From: *sw.ru
> 1. Имеет ли значение разница версий между HN и виртуалкой?
> (подозреваю что да, причем существенная - 1.3.5 и 1.2.11)

до сих пор не имело. будем разбираться.

> 2. Имеет ли смысл вообще поднимать gateway/firewall в виртуальной
> машине? В смысле, будет ли это дело корректно работать? Версию
> можно и Centos-4 поставить, не принципиально.

работать корректно будет, хотя я лично не понимаю почему не делать firewall в VE0 - тогда он будет распространяться на ВСЕХ, включая все VE.
Ну если очень хочется, то можно делать и в VE :@)

> 3. Какие-нибудь советы или рекоменгдации? Приму с благодарностью
> (переход на Виндовс и прочий интим не предлагать! Smile)

1. strace -f -o out <команда iptables> которая выдает вам ошибки.
2. как временный workaround выгрузить эти модули из VE0
3. или проапдейтить iptables.


http://static.openvz.org/userbars/openvz-developer.png
Re: Вопросы по Iptables [message #24562 is a reply to message #24547] Thu, 06 December 2007 11:39 Go to previous messageGo to next message
tgasoft is currently offline  tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
Junior Member

From: *geocell.com.ge
dev wrote on Thu, 06 December 2007 03:17

> 1. Имеет ...

работать корректно будет, хотя я лично не понимаю почему не делать firewall в VE0 - тогда он будет распространяться на ВСЕХ, включая все VE.
Ну если очень хочется, то можно делать и в VE :@)


Ну, насколько я помню, одна из настоятельных рекомендаций - в ноде не должно быть ничего лишнего, а все сервисы должны запускаться на виртуалках. Ну и в плане миграции, конечно, тоже удобнее.
dev wrote on Thu, 06 December 2007 03:17


1. strace -f -o out <команда iptables> которая выдает вам ошибки.
2. как временный workaround выгрузить эти модули из VE0
3. или проапдейтить iptables.


№vzlist -a
Warning: Unknown iptable module: ip_nat_proto_gre, skipped
Warning: Unknown iptable module: ip_nat_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_proto_gre, skipped
Warning: Unknown iptable module: ip_gre, skipped
Warning: Unknown iptable module: ipt_MARK, skipped
Warning: Unknown iptable module: ipt_mark, skipped
VEID NPROC STATUS IP_ADDR HOSTNAME
777 20 running 10.10.2.21 -
888 - stopped - -

Попытка вставить в конфиг виртуалки список модулей:

#./ipt
+ vzctl set 777 --iptables ip_conntrack_proto_gre --iptables ip_gre --iptables ipt_REDIRECT --iptables iptable_nat --iptables ipt_MARK --iptables iptable_mangle --iptables ipt_REJECT --iptables ipt_mark --iptables ipt_LOG --iptables ipt_limit --iptables ipt_state --iptables ip_conntrack --iptables iptable_filter --iptables ip_tables --iptables ip_nat_proto_gre --iptables ip_nat_pptp --iptables ip_conntrack_pptp
Warning: Unknown iptable module: ip_nat_proto_gre, skipped
Warning: Unknown iptable module: ip_nat_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_proto_gre, skipped
Warning: Unknown iptable module: ip_gre, skipped
Warning: Unknown iptable module: ipt_MARK, skipped
Warning: Unknown iptable module: ipt_mark, skipped
Warning: Unknown iptable module: ip_conntrack_proto_gre, skipped
Bad parameter for --iptables: ip_conntrack_proto_gre
(выделение цветом моё)
Если исключить этот модуль, ругань идет на следующий и т.д.

[root@newrose opt]# rpm -q iptables
iptables-1.3.5-1.2.1
[root@newrose opt]# uname -a
Linux newrose.intra 2.6.18-53.el5.028stab051.1ent #1 SMP Fri Nov 30 05:03:02 MSK 2007 i686 i686 i386 GNU/Linux

[root@newrose opt]# vzctlexec 777 rpm -q iptables
bash: vzctlexec: command not found
[root@newrose opt]# vzctl exec 777 rpm -q iptables
Warning: Unknown iptable module: ip_nat_proto_gre, skipped
Warning: Unknown iptable module: ip_nat_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_pptp, skipped
Warning: Unknown iptable module: ip_conntrack_proto_gre, skipped
Warning: Unknown iptable module: ip_gre, skipped
Warning: Unknown iptable module: ipt_MARK, skipped
Warning: Unknown iptable module: ipt_mark, skipped
iptables-1.2.11-3.1.RHEL4



Dum vivimus, vivamus!
Re: Вопросы по Iptables [message #24563 is a reply to message #24562] Thu, 06 December 2007 11:55 Go to previous messageGo to next message
vaverin is currently offline  vaverin
Messages: 694
Registered: September 2005
Senior Member
From: *sw.ru
В 2.6.18 ядрах перечислять доступные VE модули не нужно. Там будут доступны все загруженные на HW node модули

Через vzctl set --iptables можно _ограничить_ набор доступных модулей.
Но для 2.6.18 ядер в список модулей сильно порезан -- то есть там можно запретить tables и conntracks.
А остальные модули vzctl ничего не знает.
Re: Вопросы по Iptables [message #24564 is a reply to message #24562] Thu, 06 December 2007 11:57 Go to previous messageGo to next message
dev is currently offline  dev
Messages: 1693
Registered: September 2005
Location: Moscow
Senior Member

From: *sw.ru
> Ну, насколько я помню, одна из настоятельных рекомендаций - в
> ноде не должно быть ничего лишнего, а все сервисы должны
> запускаться на виртуалках.
> Ну и в плане миграции, конечно, тоже удобнее.

ну... firewall это просто ядерная функциональность, поэтому я наверное плохо ее воспринимаю как "сервис". В принципе да, можно и и в VE. Особенно если хочется мигрировать firewall :@))

Тогда для надежности рекомендую иметь две сетевых карты:
одну - для internet соединения отдать эксклюзивно этой самое VE, а через вторую сетевуху ходить в локалку.
В общем, дело ваше.


все что касается warning'ов. Это ругаются VZ команды, т.к. вы похоже руками добавили в конфиг VE iptables модули которых нет в списке. Т.е. модули есть, но vzctl их не позволяет задать.
а вы хотите использовать GRE?


http://static.openvz.org/userbars/openvz-developer.png
Re: Вопросы по Iptables [message #24568 is a reply to message #24546] Thu, 06 December 2007 12:20 Go to previous messageGo to next message
tgasoft is currently offline  tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
Junior Member

From: *geocell.com.ge
[quote title=dev wrote on Thu, 06 December 2007 03:08]
tgasoft wrote on Thu, 06 December 2007 11:00

...

2. precreated template надо просто положить в /vz/template/cache или что-то типа того. Обновлять их можно, это глюк где-то. Обновлять можно и VE на базе template'а, и сам template обновляется через VE (т.е. создаете VE, апдейтите, запаковываете как новый темплит).


Читаем здесь: http://wiki.openvz.org/OS_template_cache_preparation
"As an alternative to creating a cache using template metadata, you can use precreated template cache taken from Downloads » Templates » Precreated, or directly from download.openvz.org/template/precreated, or from one of the mirrors.

However, this option is not recommended for production systems since without installing template metadata you will not be able to update your template cache. "

Так что это не глюк, а фича... Sad

Если же эта инфа устарела и Вы таки правы (а это был бы не худший вариант!), подскажите, пожалуйста, где прочитать как это сделать. В мануале ничего похожего нет.


Dum vivimus, vivamus!
Re: Вопросы по Iptables [message #24571 is a reply to message #24568] Thu, 06 December 2007 12:33 Go to previous messageGo to next message
dev is currently offline  dev
Messages: 1693
Registered: September 2005
Location: Moscow
Senior Member

From: *sw.ru
это глюк. перечитайте :@) апдейтить их можно. просто чуть сложнее.
но процедура все равно достаточно простая.

например:
http://wiki.openvz.org/Updating_Ubuntu_template
http://wiki.openvz.org/Updating_Ubuntu_template



http://static.openvz.org/userbars/openvz-developer.png
Re: Вопросы по Iptables [message #24576 is a reply to message #24564] Thu, 06 December 2007 13:52 Go to previous messageGo to next message
tgasoft is currently offline  tgasoft
Messages: 7
Registered: October 2006
Location: Georgia, Tbilisi
Junior Member

From: *geocell.com.ge
dev wrote on Thu, 06 December 2007 06:57

> Ну, насколько я помню, одна из настоятельных рекомендаций - в
> ноде не должно быть ничего лишнего, а все сервисы должны
> запускаться на виртуалках.
> Ну и в плане миграции, конечно, тоже удобнее.

ну... firewall это просто ядерная функциональность, поэтому я наверное плохо ее воспринимаю как "сервис". В принципе да, можно и и в VE. Особенно если хочется мигрировать firewall :@))

Тогда для надежности рекомендую иметь две сетевых карты:
одну - для internet соединения отдать эксклюзивно этой самое VE, а через вторую сетевуху ходить в локалку.


Само собой. Так и есть. Я даже думал третью поставить и её эксклюзивно виртуалке с файрволлом отдать...
dev wrote on Thu, 06 December 2007 06:57


В общем, дело ваше.

все что касается warning'ов. Это ругаются VZ команды, т.к. вы похоже руками добавили в конфиг VE iptables модули которых нет в списке. Т.е. модули есть, но vzctl их не позволяет задать.
а вы хотите использовать GRE?


Скорее всего хотим, во всяком случае сейчас он используется. Молули есть только в конфиге ноды /etc/vz/vz.conf, в конфиг виртуалки добавить их не могу. Можно конечно ручками вписать, но не факт что оно работать будет.

Так что там с разницей версий iptables?


Dum vivimus, vivamus!
Re: Вопросы по Iptables [message #24577 is a reply to message #24576] Thu, 06 December 2007 13:56 Go to previous messageGo to next message
dev is currently offline  dev
Messages: 1693
Registered: September 2005
Location: Moscow
Senior Member

From: *sw.ru
ничего. версия iptables никак не влияет. warning'и были не от iptables вовсе а от vzctl/vzlist.

FYI: GRE не поддерживается внутри VE, т.к. не виртуализовано
(хотя есть патчик - в процессе так сказать...)


http://static.openvz.org/userbars/openvz-developer.png
Re: Вопросы по Iptables [message #24585 is a reply to message #24576] Thu, 06 December 2007 14:13 Go to previous message
vaverin is currently offline  vaverin
Messages: 694
Registered: September 2005
Senior Member
From: *sw.ru
tgasoft wrote on Thu, 06 December 2007 16:52

dev wrote on Thu, 06 December 2007 06:57

> Ну, насколько я помню, одна из настоятельных рекомендаций - в
> ноде не должно быть ничего лишнего, а все сервисы должны
> запускаться на виртуалках.
> Ну и в плане миграции, конечно, тоже удобнее.

ну... firewall это просто ядерная функциональность, поэтому я наверное плохо ее воспринимаю как "сервис". В принципе да, можно и и в VE. Особенно если хочется мигрировать firewall :@))

Тогда для надежности рекомендую иметь две сетевых карты:
одну - для internet соединения отдать эксклюзивно этой самое VE, а через вторую сетевуху ходить в локалку.


Само собой. Так и есть. Я даже думал третью поставить и её эксклюзивно виртуалке с файрволлом отдать...



Мне нравится эта идея. Но хочу заметить, что в этом случае online миграция VE на другую ноду будет невозможной. Хотя если для Вас небольшой downtime допустим -- это не такая уж и большая потеря.

C уважением,
Василий Аверин
Previous Topic: Использование памяти.
Next Topic: Скрипт для копирования и ротации бэкапов vzdump по ssh
Goto Forum:
  


Current Time: Thu Nov 21 05:37:25 GMT 2019