Топливная карта Benzuber 
Стоимость проекта "Гуайдо" 
Интересный случай. 
Темпы депопуляции Китая ускоряются 
Японский майндсет женского взросления 
Тошнотворное 
Переговоры России и США начнутся на следующей неделе в Саудовской Аравии 
Быстрые, дорогие, невостребованные 
Мои расходы в Австралии (2025). Поражение ПАРНАСа в Костроме – факт незначительный и не особо резонансный. Ведь многие небольшие политические силы здесь и в других регионах проиграли примерно с таким же результатом. Но у партии Касьянова одна особенность – на кампанию она потратила денег едва ли не больше, чем победи ...
ProxMox, встроенный Firewall и NAT
klink0v — 08.01.2024
... Иногда "от нищеты" нет возможности организовать "отдельную" железку-маршрутизатор. Ну там жаба душит лишний юнит в серверном шкафу оплатить и всё вот это. Тогда приходится маршрутизировать на самих хост-машинах.
Вроде бы оно и не страшно. Но иногда "до кучи" хочется задействовать красивую встроенную веб-морду от iptables. И тогда начинаются разные чудеса.
Так, я передвинул одну из виртуалок с хоста на хост и обнаружил, что она потеряла доступ в интернеты. То есть снаружи на её веб-сервер вполне можно достучаться, а вот она сама за обновлениями, например, сходить больше не может.
Стал разбираться. Оказалось, не отрабатывает правило Source NAT в Iptables хост-машины. Притом, пока виртуалка жила на не-маршрутизирующем хосте, всё было ОК. А как только подвинул на маршрутизирующий — сломалось.
Оказывается, трассировщик соединений ядра (conntrack) с какого-то момента стал мультизональным. Это что-то типа namespace-ов, но только чисто для трассировщика. И когда включаешь Firewall средствами ProxMox-а прицельно для какой-то отдельно взятой виртуалки, её соединения начинают попадать в другую зону трассировщика. Не в ту, где обитает Source NAT. Поэтому последний и не отрабатывает.
Лечится примерно так.
iptables -t raw -I PREROUTING -i fwbr+ -j CT --zone 1
М-дя.
Сохранено
|
|
</> |
ProxMox, встроенный Firewall и NAT
Оставить комментарий
Популярные посты:
Архив записей в блогах:
Усадьба Сназина. Адрес: село Ивановское, Тверская область. Годы строительства: 1907–1914 годы Увядающая красота: 10 заброшенных усадеб России Архитектурное наследие России постепенно исчезает: на наших глазах рушатся усадьбы, сгорают деревянные дома, превращаются в руины древние ...
Г-н Женечка Тинянский, ближайший соратнег беглокомандующего, упорото пытается искать на меня компромат. То оно распространяло бред, что моя фамилия "Ляшко" (тут просто, скрин паспорта есть - там чётко написано "Миямото Симмэн Мусаси"). А тут он раскопал мою статью от 2010 года, где я ...
"В суете этого мира дружба — единственное, что имеет важное значение в личной жизни" Карла Маркс о дружбе с Энгельсом. Нужным быть кому-то в трудную минуту - Вот что значит ...
Старуха и старик Скабеевы три года назад оборжали и обосрали украинский противокорабельный комплекс "Нептун" только на том основании, что ракета красная. Ваще-то и россияне красят ракеты в красный цвет, если проводятся какие-то учебные с ними манипуляции - стрельбы или тренировки ...
