OpenVZ Forum


Home » International » Russian » Новое ядро, новая проблема [SOLVED]
Новое ядро, новая проблема [SOLVED] [message #33720] Mon, 03 November 2008 15:04
sa10 is currently offline  sa10
Messages: 103
Registered: May 2007
Location: Minsk
Senior Member
From: *btis.by
Наверняка я сам выкопаю что существенного в изменилось при переходе от версии ядра 028.051 на 028.057, но вероятно кто может сразу подсказать на что я напоролся.

это фрагмент конструкции сети на моем OpenVZ :
VE0 -  
brvz       eth0     eth1
    \        \     /
     vlan123 -bond0--vlan111--brdmz--veth2001.0 -сервер DNS в DMZ
             /     \               \veth102.1 - фаервол   
         vlan5    vlan10 (без адреса)
          |           \    
         lan         br0(bridge)
                        \ 
                     veth102.0 фаервол
              



Непосредственно с несущей машиной VE0 можно работать только через бридж brvz по vlan123. Все прочие бриджи и виланы подняты на VE0 с адресом "null". На VE0 работает ( в смысле работал) отдельный фаервол (shorewall).
В бридж brdmz включены интерефейсы виртуальных серверов зоны DMZ.
На VE102 работает фаервол организующий доступ и нарезающий трафик в инет, локальные сети и DMZ.
Для нарезки трафика для VE102 проброшен IFB, на него перенаравлен входящий из инета трафик и здесь выполняется классификация и нарезка входящего трафика.
----------------------------
Система довольно долго и счастливо работала на ядре 2.6.18-openvz-028.051
Перешел на 028stab059.3 и наблюдаю старанные симптомы:
1. Фаервол на несущей системе VE0 стал дропать пакеты на всех интерфейсах политикой по умолчанию, раньше этого не наблюдалось.
2. На фаерволе VE102 странная картина, он отбрасывает пакеты на интерфейсах которые не должен видеть вообще, например: REJECT:IN=eth5 OUT= PHYSIN=vlan200 PHYSOUT=veth777.5
3. для DNS определен один из наивысших приоритетов shorewall show classifiers показывает наличие пакетов в этом классе, но запросы проходят когда им захочется. При выключенном управлении трафиком (shorewall.conf TC_ENABLED=No) DNS работает, что вообще странно.
-------------
Пока писал, нашел решение...

Хотя, скорее всего мое описание симптомов не достоверно и не полно, возможно оно будет кому либо полезно потому не удалаляю.
Проблемы решились установкой следующих параметров

echo 0 > /proc/sys/net/bridge/bridge-nf-call-arptables
echo 0 > /proc/sys/net/bridge/bridge-nf-call-iptables
echo 0 > /proc/sys/net/bridge/bridge-nf-call-ip6tables
echo 0 > /proc/sys/net/bridge/bridge-nf-filter-vlan-tagged
или
sysctl net.bridge.bridge-nf-filter-vlan-tagged=0
sysctl net.bridge.bridge-nf-call-ip6tables=0
sysctl net.bridge.bridge-nf-call-iptables=0
sysctl net.bridge.bridge-nf-call-arptables=0

Найдено у ксеноводов. http://xgu.ru/wiki/%D0%A1%D0%B5%D1%82%D1%8C_%D0%B2_Xen
Смысл этих параметров следующий:
Например, - значение bridge-nf-call-iptables управляет передачей проходящего через мост трафика IPv4 в цепочки iptables. Используемое по умолчанию значение 1 разрешает передачу пакетов для фильтрации, 0 – запрещает.

Надо бы это в Howto...



--------------------

Previous Topic: ioprio для VE0
Next Topic: shorewall and OpenVZ. Как правильно описать интерфейс venet0?
Goto Forum:
  


Current Time: Tue Oct 23 20:33:58 GMT 2018