Twitter iPhone pliant OnePlus 12 PS5 Disney+ Orange Livebox Windows 11 ChatGPT

Re: [LXC][kimsuffi]Gérer un réseau interne NATté ?

1 réponse
Avatar
sylvain
je vois dans ton mail que tu n'as pas d'ip failover je connais pas bien ope=
nvz mais sous vmware esxi 5 une ip failover est obligatoire pour nater alor=
s je me trompe peut =C3=AAtre mais normalement on peut pas nater sur l'ip p=
rincipale faut un failover=20
apr=C3=A8s je r=C3=A9p=C3=A8te je ne travail pas sous openvz mais sous vmwa=
re esxi donc ma r=C3=A9ponse est peut =C3=AAtre pas valable dans ton cas le=
s autres habit=C3=A9s verrons .....

Le 09/04/2013 02:40 PM, Gr=C3=A9gory B a =C3=A9crit :
> Bonjour,
>
> Je d=C3=A9bute en LXC (j'arrive d'OpenVZ / serveur perso =C3=A0 la maison=
), et en
> plus la machine sera sur un kimsuffi.
>
> =C3=A9tant un peu une quiche en r=C3=A9seau j'ai s=C3=BBrement rat=C3=A9 =
quelque chose
> d'=C3=A9vident, mais mon container n'acc=C3=A8de pas au net ?
>
> - L'adresse de mon serveur est du type 188.165.X.Y (_host_) (une seule ip
> publique possible)
> - Mes containers auront une adresse du type 192.168.0.0 (_container_)
>
> C'est br0 de _hote_ qui porte l'ip publique
>
> Je compte faire des r=C3=A8gles iptables sur _host_
> * tous ce qui est port 22,80,443 =3D=3D> ip 192.168.10.101
> (_container_01_)
> * tout ce qui est port imaps, smtps =3D=3D> ip 192.168.10.102
> (_container_02_)
>
> J'ai lu un peu de litt=C3=A9rature web, mais globalement tous restent dan=
s la
> m=C3=AAme classe d'ip entre le host et les containers (j'ai mal cherch=C3=
=A9 ?),
> comment puis-je faire ?
>
> J'ai configur=C3=A9 en mode veth et bridge
> _host_ : brctl show
> bridge name bridge id STP enabled interfaces
> br0 8000.74d02b26bxxx no eth0
> vethvm01
>
> et dans mon 1er container j'ai ceci
> # ifconfig
> eth0 Link encap:Ethernet HWaddr 00:ff:aa:00:00:01
> inet adr:192.168.10.101 Bcast:192.168.10.255
> Masque:255.255.255.0
> [...]
> lo
> [...]
> (pas de veth...)
> # route
> Table de routage IP du noyau
> Destination Passerelle Genmask Indic Metric Ref Use
> Iface
> 192.168.10.0 * 255.255.255.0 U 0 0 0
> eth0
>
>
>
Salut,

Pour des VM nat=C3=A9e il faut obligatoirement d=C3=A9clarer sur la machine=
hote
une nouvelle interface bridge br1 par ex. Il faut une interface d=C3=A9di=
=C3=A9e
au Nat qui sera ensuite g=C3=A9r=C3=A9e par iptables via des r=C3=A8gles de=
POSTROUTING
et MASQUERADE pour g=C3=A9rer les flux et les redirections de ports sur la
vm. (ex il faut qu'iptables redirige le port 2122 vers le 22 de la vm
nat=C3=A9 pour l'acc=C3=A8s ssh)

Dans ton cas je ne comprends pas pourquoi eth0 =C3=A0 une adresse priv=C3=
=A9e.
eth0 sur un kimsufi est un alias de br0 ton bridge. C'est br1 qui doit
disposer d'une adresse priv=C3=A9e qui sera la gateway de ta VM.

--=20
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5227304D.3000301@gmail.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20075891.3.1378304885901.JavaMail.baal@gamer-PC-LINUX

1 réponse

Avatar
Johnny B
Le 09/04/2013 04:28 PM, sylvain a écrit :
je vois dans ton mail que tu n'as pas d'ip failover je connais pas bien openvz mais sous vmware esxi 5 une ip failover est obligatoire pour nater alors je me trompe peut être mais normalement on peut pas nater sur l'ip principale faut un failover
après je répète je ne travail pas sous openvz mais sous vmware esxi donc ma réponse est peut être pas valable dans ton cas les autres habités verrons .....


Salut,

Pas besoin d'ip failover pour nater sinon comment font les gens qui
n'ont pas d'ip supplémentaires ?

Qu'est ce que tu entends part ?

"on peut pas nater sur l'ip principale faut un failover"


Effectivement ayant travaillé sur vmware esxi les conf ne sont pas
vraiment pareil

Le 09/04/2013 02:40 PM, Grégory B a écrit :
Bonjour,

Je débute en LXC (j'arrive d'OpenVZ / serveur perso à la maison), et en
plus la machine sera sur un kimsuffi.

étant un peu une quiche en réseau j'ai sûrement raté quelque chose
d'évident, mais mon container n'accède pas au net ?

- L'adresse de mon serveur est du type 188.165.X.Y (_host_) (une seule ip
publique possible)
- Mes containers auront une adresse du type 192.168.0.0 (_container_)

C'est br0 de _hote_ qui porte l'ip publique

Je compte faire des règles iptables sur _host_
* tous ce qui est port 22,80,443 ==> ip 192.168.10.101
(_container_01_)
* tout ce qui est port imaps, smtps ==> ip 192.168.10.102
(_container_02_)

J'ai lu un peu de littérature web, mais globalement tous restent dans la
même classe d'ip entre le host et les containers (j'ai mal cherché ?),
comment puis-je faire ?

J'ai configuré en mode veth et bridge
_host_ : brctl show
bridge name bridge id STP enabled interfaces
br0 8000.74d02b26bxxx no eth0
vethvm01

et dans mon 1er container j'ai ceci
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:ff:aa:00:00:01
inet adr:192.168.10.101 Bcast:192.168.10.255
Masque:255.255.255.0
[...]
lo
[...]
(pas de veth...)
# route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use
Iface
192.168.10.0 * 255.255.255.0 U 0 0 0
eth0





Salut,

Pour des VM natée il faut obligatoirement déclarer sur la machine hote
une nouvelle interface bridge br1 par ex. Il faut une interface dédiée
au Nat qui sera ensuite gérée par iptables via des règles de POSTROUTING
et MASQUERADE pour gérer les flux et les redirections de ports sur la
vm. (ex il faut qu'iptables redirige le port 2122 vers le 22 de la vm
naté pour l'accès ssh)

Dans ton cas je ne comprends pas pourquoi eth0 à une adresse privée.
eth0 sur un kimsufi est un alias de br0 ton bridge. C'est br1 qui doit
disposer d'une adresse privée qui sera la gateway de ta VM.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/