Bug 14810 - etcnet vs openvz with 2 nics on the host
Summary: etcnet vs openvz with 2 nics on the host
Status: NEW
Alias: None
Product: ALT Linux Server
Classification: Distributions
Component: bugs (show other bugs)
Version: 4.0.1
Hardware: all Linux
: P2 normal
Assignee: Anton V. Boyarshinov
QA Contact: Andrey Cherepanov
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2008-03-07 20:58 MSK by seriv
Modified: 2012-12-31 05:51 MSK (History)
1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description seriv 2008-03-07 20:58:19 MSK 
vzctl добавляет в /etc/sysconfig/iptables строчку типа:
---
# grep -i snat /etc/sysconfig/iptables
-A POSTROUTING -s 10.16.0.12 -o wan -j SNAT --to-source 4.79.43.189
---
в ситуации когда Host имеет две карточки, одна в сети 10.16.0.0/255 и вторая с
публично доступным IP 4.79.43.189 в сети 4.79.43.160/27, при конфигурации VE с
IP адресами в обеих этих сетях:
---
# grep -i ip_address /etc/vz/conf/160012.conf
IP_ADDRESS="10.16.0.12 4.79.43.183"
---
В результате получаю VE, доступный из обеих сетей (могу ssh login в него
отовсюду), но который не имеет доступа кроме как в локальную сеть, так как
исходящие пакеты имеют исходящий адрес 10.16.0.12:
---
# tcpdump -n -i wan  host 66.94.234.13
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wan, link-type EN10MB (Ethernet), capture size 96 bytes
09:53:38.973050 IP 10.16.0.12 > 66.94.234.13: ICMP echo request, id 17701, seq
33, length 64
09:53:39.973038 IP 10.16.0.12 > 66.94.234.13: ICMP echo request, id 17701, seq
34, length 64
09:53:40.972985 IP 10.16.0.12 > 66.94.234.13: ICMP echo request, id 17701, seq
35, length 64
...
---

Для исправления этого приходится вручную модифицировать настройки /etc/net, в
частности создавать файл:
---
# cat /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING
snat-to 4.79.43.189 if from 10.16.0.12 out-iface wan
---

После этого всё работает.

Лучше бы было если бы openvz в ALTLinux'е знал, что вместо бесполезного
редактирования /etc/sysconfig/iptables надо редактировать файлы в /etc/net

-- 
   Сергей Иванов