OpenVZ Forum


Home » International » Russian » Проблема с ipt_owner
Проблема с ipt_owner [message #34585] Mon, 19 January 2009 13:57 Go to next message
GHua is currently offline  GHua
Messages: 1
Registered: January 2009
Junior Member
From: 195.238.191*
Здравствуйте.

CentOS release 5 (Final)
Linux host.net 2.6.18-53.1.6.el5.028stab053.6 #1 SMP Mon Feb 11 20:14:31 MSK 2008 x86_64 x86_64 x86_64 GNU/Linux

Понадобился в OpenVZ контейнере модуль ipt_owner.
Добавил его в vz.conf, загрузил через modprobe, сделал рестарт сервису vz.

Во время рестарта прошло сообщение:
Warning: Unknown iptable module: ipt_owner, skipped

Но правило с использованием модуля в контейнере прошло.

Проблема в том, что требуется заворачивать все исходящие tcp коннекты на локальный сервис, но что-бы он сам при попытке коннекта не попадал в петлю его стоит пропустить мимо.
Добавляю два следующих правила в таком-же порядке:
iptables -A OUTPUT -p tcp -o venet0 --dport 25 -m owner --uid-owner=8 --gid-owner=8 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -o venet0 --dport 25 -j DNAT --to-destination 127.0.0.1:2026


Но к сожалению при попытке коннекта из под этого юзера в мир происходит следующее:
mail@host:~$ id
uid=8(mail) gid=8(mail) groups=8(mail)

mail@host:~$ nc host.ru 25
554 smtp-proxy.isp Too many connections from your host, try again later


Т.е. отвечает локальный демон, а мне нужно, что-бы отвечал удаленный SMTP сервис к которому собственно идет обращение.
Вывод: первое правило не работает.

Подскажите можно ли пользоваться модулем ipt_owner в контейнере openvz и если можно то где я не прав?

Благодарю за внимание...
Re: Проблема с ipt_owner [message #34632 is a reply to message #34585] Thu, 22 January 2009 15:50 Go to previous message
maratrus is currently offline  maratrus
Messages: 1495
Registered: August 2007
Location: Moscow
Senior Member
From: *sw.ru
Здравствуйте,


Quote:


Добавил его в vz.conf, загрузил через modprobe, сделал рестарт сервису vz.

Во время рестарта прошло сообщение:
Warning: Unknown iptable module: ipt_owner, skipped



Его не нужно было добавлять в vz.conf. По умолчанию, все модули, загруженные на HN до старта контейнера должны быть доступны внутри ("man vzctl" iptales).

Насчет сообщения - это следствие добавления в файл vz.conf
Подробнее написано здесь
http://forum.openvz.org/index.php?t=msg&goto=24819&# msg_24819

Quote:


Вывод: первое правило не работает.


У вас точно других правил нет, которые могут повлиять на поведение. Можете посмотреть tcpdump внутри VE на поведение трафика, когда делаете команду nc.
Previous Topic: chkrootkit ругается
Next Topic: Странное поведение VE
Goto Forum:
  


Current Time: Mon Sep 16 00:40:29 GMT 2019