DMZ na Proxmoxe

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

zkratka netns mi docvakla ihned, ale ne co jsem se chtěl zeptat,je jestli v jednom pc  běžícím pičítači/OS je možné mít víc sad iptables pravidel a jak spolu koexistují . je to stejnym mechhanismem jako netNS? ... Našeptávate dřív než seceptàm

Netns si představuju že je jako argument předám  příkazu  ~lxc-start nebo /init , /systemd a od něj všechny podprocesy dědí.(ostatně tak to vidim v htop, který hraje všemi barvami než kdy jindy dřív nebo na "plain single user", "singleCT" distribuci) Nebo jenom jednoràzově pro nějaký mnou vybraný proces typu wget,quagga,tayga,bird,knotD.

[Reklama]

[František Ryšánek]

Ujasnění pojmu "sada iptables pravidel":
netfilter2/IPtables má tyto dimenze, navzájem cca kolmé:
1) chainy: zabudované PREROUTING / FORWARD / POSTROUTING / INPUT / OUTPUT
2) tables: defaultní zvaná tuším "filter", dále "nat" a ještě navrch "mangle"
3) a volitelně ještě "policy routing tables", které se věší na "značkování paketů": target "iptables -j MARK --set-mark <číslo>", a následně navazuje "ip rule add fwmark <číslo> table <moje.tabule>" do které se pak naházejí nějaké routy pomocí "ip route add ... table <moje.tabule>"  . Tenhle mechanismus se dá použít např. na source routing nebo obecně "výhybku do jedné z několika alternativních routovacích tabulek".

Toto všechno se odehrává v rámci jednoho network namespace.

Když si vytvoříte více network namespaces, patrně toto všechno můžete mít N-krát :-) v nezávislých instancích.

Jestli se namespace dědí na potomky procesu, který jste do konkrétního namespace explicitně poslal, to je dobrá otázka.
Nemám čas to teď zkoumat, ale navrhuji jednoduchý test: zkuste něco pustit uvnitř network namespace napřed explicitně, a následně to zabalte do shellového skriptu, a dejte network namespace tomu obalu.
Viz též: jak vypsat procesy, které žijí v konkrétním namespace
Pokud správně chápu tuto zmínku, tak se network namespace nedědí? V tom případě by mě zajímalo, jak to svému dítěti předá "ip netns exec" :-)

Téma šířeji souvisí s Control Groups - těch různých izolovaných namespaces je více druhů, network namespace je pouze jedním z nich.

[panpanika]

@panpanika v klidu, nejsme ve škole a já nejsem učitel ani šéf :-)
Já jsem jenom zkombinoval historické znalosti jak se to konfiguruje holýma rukama v živém systému: ifconfig, ip, brctl, bridge, vconfig...   s jakousi znalostí debianího tradičního konfiguráku /etc/network/interfaces. Který má docela obstojnou dokumentaci, a poměrně dost navazujících examplů se válí různě po internetu - např. na serverech ze skupiny StackExchange (vč. Ask Ubuntu).
Dokumentace Proxmoxu ohledně toho vlan-aware bridge mi přišla poměrně kusá, ale když jsem to poskládal s examply z Debianu, tak mi vyšlo něco, co mi dává smysl. A v Proxmoxu mi to funguje. A rozhodně netvrdím, že je to jediná správná možnost.

Pozde ale prece, otestovano na lab setupu a funguje to jak pises.
Namackal jsem to primo do /etc/interfaces

ke "skole a sefovi" - snazim se vazit si casu ostatnich stejne jako sveho, jestli me neco v zivote demotivuje, tak je to zbytecna prace a promarnenej cas, tak proto...


kazdopadne diky

a s odstupem provozu v produkci - vsechno dobry az na Widle co se maji tendenci si nepravidelnych intervalech sprajcnout sitovani. kdyz jim pripojim a odpojim virtualni kabel ze strany proxmoxu tak jedou vesele dal. zatim jsem to vyresil skriptem co udela

Kód: [Vybrat]

qm set 100 --net0 virtio=d8:48:eb:6e:dd:5b,bridge=sfpplus,tag=10,link_down=1 && \
qm set 100 --net0 virtio=d8:48:eb:6e:dd:5b,bridge=sfpplus,tag=10,link_down=0
linuxovy VM jsou v klidu.. dela to jak wserver2025 tak w11. zkousel jsem i jiny sitovky ale bylo to stejny. jeste se tomu v budoucnu chci povenovat. urcite na ESXI nevzpominam se slzou v oku