[ Danijel Krmar @ 03.11.2011. 15:35 ] @
Kako bih testirao OpenVZ za neki projekat instalirao sam ga da radi na lokalnoj masini na kojoj se vrti CentOS.

E sada, javlja mi se problem da iz kontejnera (CT) ne mogu da pristupim internetu, pa cak ni ruteru, dok sa hardware nod-om (HN) mogu da komuniciram iz kontejnera.

Probao sam vec preko IPTables da podesim NAT, ali i dalje nece. Kao sto rekoh, HN i CT mogu medjusobno da komuniciraju, da se pinguju...

Da li je moguce da je problem do toga sto se sve vrti u virtualnoj masini (VM)? Trenutno ne mogu da ga testiram na produkcionoj masini sa javnom IP adresom, tako da bih ovo morao nekako da nateram da proradi.

Topologija toga svega izgledala ovako:

Code:

router (192.168.1.1)-----racunar (192.168.1.2)
                                              |
                                              |      VM ima izlaz ka spolja, mreza racunar-VM je u bridge modu.
                                              |
                                             VM na kome je HN (192.168.1.3)
                                              |
                                              |
                                              CT


Pa ako neko ima neke sugestije, samo pucajte...

[Ovu poruku je menjao Danijel Krmar dana 03.11.2011. u 21:14 GMT+1]

[Ovu poruku je menjao Danijel Krmar dana 03.11.2011. u 21:17 GMT+1]
[ freelancer @ 03.11.2011. 20:12 ] @
Proveri sledece:
1. da li je ukljucen IP forwarding (sysctl net.ipv4.ip_forward)
2. da li FORWARD chain iptables-a propusta saobracaj prema kontejneru
[ Danijel Krmar @ 03.11.2011. 20:16 ] @
Forwarding jeste ukljucen, a da li chain radi cu sutra da proverim kada budem pri masini.

Hvala
[ Danijel Krmar @ 04.11.2011. 13:28 ] @
E ovako, da se javim, nasao sam problem. Moglo bi se reci i da je bio previd u pitanju. O tome malo kasnije...

Kao sto rekoh, forwarding jeste bilo ukljuceno:

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward=1


No, pregledom NAT-a, tj POSTROUTING chain-a, primetio sam da taj chain ne propusta pakete
iptables -t nat -L -v
...
Chain POSTROUTING (policy ACCEPT 18 packets, 1466 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- any eth0 192.168.9.0/24 anywhere to:172.16.184.128
...


Analizom ruleset-a unutar /etc/sysconfig/iptables, skontao sam konacno da postoji rule (sto sam prethodno prevideo)
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

Uklanjanjem tog rule-a, proradio je i SNAT, pa samim time je omogucen i izlaz kontejnerima ka internetu...

@freelancer
Hvala jos jednom na smernicama :)


[Ovu poruku je menjao Danijel Krmar dana 04.11.2011. u 14:42 GMT+1]