Bug 14810

Summary: etcnet vs openvz with 2 nics on the host
Product: ALT Linux Server Reporter: seriv <seriv>
Component: bugsAssignee: Anton V. Boyarshinov <boyarsh>
Status: NEW --- QA Contact: Andrey Cherepanov <cas>
Severity: normal    
Priority: P2 CC: lav
Version: 4.0.1   
Hardware: all   
OS: Linux   

Description seriv 2008-03-07 20:58:19 MSK 
vzctl добавляет в /etc/sysconfig/iptables строчку типа:
---
# grep -i snat /etc/sysconfig/iptables
-A POSTROUTING -s 10.16.0.12 -o wan -j SNAT --to-source 4.79.43.189
---
в ситуации когда Host имеет две карточки, одна в сети 10.16.0.0/255 и вторая с
публично доступным IP 4.79.43.189 в сети 4.79.43.160/27, при конфигурации VE с
IP адресами в обеих этих сетях:
---
# grep -i ip_address /etc/vz/conf/160012.conf
IP_ADDRESS="10.16.0.12 4.79.43.183"
---
В результате получаю VE, доступный из обеих сетей (могу ssh login в него
отовсюду), но который не имеет доступа кроме как в локальную сеть, так как
исходящие пакеты имеют исходящий адрес 10.16.0.12:
---
# tcpdump -n -i wan  host 66.94.234.13
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on wan, link-type EN10MB (Ethernet), capture size 96 bytes
09:53:38.973050 IP 10.16.0.12 > 66.94.234.13: ICMP echo request, id 17701, seq
33, length 64
09:53:39.973038 IP 10.16.0.12 > 66.94.234.13: ICMP echo request, id 17701, seq
34, length 64
09:53:40.972985 IP 10.16.0.12 > 66.94.234.13: ICMP echo request, id 17701, seq
35, length 64
...
---

Для исправления этого приходится вручную модифицировать настройки /etc/net, в
частности создавать файл:
---
# cat /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING
snat-to 4.79.43.189 if from 10.16.0.12 out-iface wan
---

После этого всё работает.

Лучше бы было если бы openvz в ALTLinux'е знал, что вместо бесполезного
редактирования /etc/sysconfig/iptables надо редактировать файлы в /etc/net

-- 
   Сергей Иванов