записки рисованного

Нафига я всё это затеял? ;) По одной простой причине - охота нового и лучшего. Ну или говоря другими словами, охота приключений на свою задницу.

Дело в том, что у меня есть несколько (больше двух, но пока меньше десяти) серверов. Сервера размазаны ровным слоем по площадкам, провайдерам и странам. Один стоит прямо у меня под боком, а другой - в америке. И так далее. И очень мне охота сделать нечто этакое-такое, что бы обеспечить себе и другим хотя бы пару девяток. Ну и одновременно упростить себе жизнь по поддержанию этих сервисов в порядке. Попутно решить таски с секурностью и прочими положенными штуками.

Если секурность на уровне каналов обеспечивается легко (тот же OpenVPN показал себя с самой наилучшей стороны), то с остальным сложнее. Вот я и прикладываю к получаемой системе то VZ, то ddbd и прочие штуки. Ну и смотрю, что вообще можно юзать в таких условиях, а что - нельзя ...

В общем, если назвать это умными словами, должна получиться некая отказоустойчивая распределенная система для работы веб-сервисов (www, почта и прочие штуки), адаптированная под работу с низкоскоростными каналами ;)

Поздравьте меня, чукча отупел окончательно.

Дано: линукс, с думя интерфейсами. Один (eth0) смотрит во внешний мир, другой - в локалку (10.0.0.0/16). Дефаулт гейтвей - в внешний мир.

[root@host ~]# cat /proc/sys/net/ipv4/ip_forward
1
[root@host ~]# iptables -L -t nat -v
(скипнуто)
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- any any 10.0.0.0/16 !10.0.0.0/16
(скипнуто)

Пытаемся с внутренней машины попинговать внешнюю ... не проходит. Садимся tcpdump'ом на eth0 - пакеты уходят без всякого маскарадинга и соответственно прибиваются первым же роутером ...

Вопрос: я дурак, да? ;)

P.S. у меня есть бальшое подозрение на openvz ядро, но проверить смогу вечером, когда юзвери разбегутся ... почему именно на это ядро? потому что на федорином маскарадинг работал ...

Update Ага, точно виновато openvz ядро и вроде только 2.6.8 версия. Пока в /etc/modprobe.conf не сказал options ip_conntrack ip_conntrack_enable_ve0=1, оно не хотело маскарадить макеты ни с eth1, ни c tun0, ни c ppp0. Однако, бага. Но в принципе можно и фичей назвать. Подумаешь, поломали conntrack, так ведь не целиком же ... ;)

Не, явно надо снова писать рассказки ;))

Кстати, k001 это баг или фича?

Нельзя создать OS template без iptables и sshd. vzpkgcache -f fedora-core-4-minimal ругается страшными словами:

sed: can't read /etc/sysconfig/iptables-config: No such file or directory
ERROR: Script install-post failed

P.S. нафига мне vps без sshd и iptables? а нафига они в vps, которая создается только для одного сервиса? сервисы прекрасно рулятся и через vzctl
P.P.S. А так - openvz штука хорошая ... но непричесанная, что ли :))