LINUX.ORG.RU
ФорумAdmin

Connection refused из контейнера proxmox

 


0

1

Доброго времени суток форучанам. «Перед тем как что-либо просить, расскажу о том как мне плохо»©. Свое знакомство с линуксом начал недавно, вроде пока все понятно но не складывается дружба с маршрутами и iptables, и вообще я местами полный чайник.Чукча не админ короче говоря.

Теперь моя проблема:

1. Хост машина debian + proxmox с выделенным IP. На хосте пытались поднять openvpn и ковыряли настройки ISP-manager. Что-то из этого могло предположительно повлиять на работу сети.

2. Внутри 2 контейнера с Centos, у каждого выделенный свой IP адрес. Из мира в контейнеры ходит нормально, цепляется по SSH/HTTP/MYSQL. При попытке куда либо зайти из контейнера получаю connection refused (ssh,wget, curl,yum). Подскажите куда копать, предположительно режутся исходящие соединения, но где это крутить - понятия не имею. По уровню знаний просмотрел все + гуглил, гуглил, гуглил.

iptables

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ispmgr_deny_ip  all  --  anywhere             anywhere
ispmgr_allow_ip  all  --  anywhere             anywhere
ispmgr_allow_sub  all  --  anywhere             anywhere
ispmgr_deny_sub  all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere             match-set ispmgr_limit_req src
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:222
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere


Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-ssh (2 references)
target     prot opt source               destination
REJECT     all  --  210.30.65.218.broad.xy.jx.dynamic.163data.com.cn  anywhere             reject-with icmp-port-unreachable
REJECT     all  --  183.94.193.154       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  116.31.116.21        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  59.63.188.30         anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere


Chain ispmgr_allow_ip (1 references)
target     prot opt source               destination


Chain ispmgr_allow_sub (1 references)
target     prot opt source               destination

Chain ispmgr_deny_ip (1 references)
target     prot opt source               destination

Chain ispmgr_deny_sub (1 references)
target     prot opt source               destination

Chain ispmgr_limit_req (0 references)
target     prot opt source               destination

iptables-save
# Generated by iptables-save v1.4.21 on Fri Mar 17 13:13:16 2017
*mangle
:PREROUTING ACCEPT [26425:17749028]
:INPUT ACCEPT [3199:269429]
:FORWARD ACCEPT [22607:17455062]
:OUTPUT ACCEPT [3438:1632623]
:POSTROUTING ACCEPT [25647:19038078]
COMMIT
# Completed on Fri Mar 17 13:13:16 2017
# Generated by iptables-save v1.4.21 on Fri Mar 17 13:13:16 2017
*nat
:PREROUTING ACCEPT [1589:89647]
:INPUT ACCEPT [361:27018]
:OUTPUT ACCEPT [67:5275]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o vmbr0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Mar 17 13:13:16 2017
# Generated by iptables-save v1.4.21 on Fri Mar 17 13:13:16 2017
*filter
:INPUT ACCEPT [38:2610]
:FORWARD ACCEPT [33:3736]
:OUTPUT ACCEPT [65:13304]
:fail2ban-ssh - [0:0]
:ispmgr_allow_ip - [0:0]
:ispmgr_allow_sub - [0:0]
:ispmgr_deny_ip - [0:0]
:ispmgr_deny_sub - [0:0]
:ispmgr_limit_req - [0:0]
-A INPUT -j ispmgr_deny_ip
-A INPUT -j ispmgr_allow_ip
-A INPUT -j ispmgr_allow_sub
-A INPUT -j ispmgr_deny_sub
-A INPUT -m set --match-set ispmgr_limit_req src -j DROP
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -p tcp -m tcp --dport 222 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A FORWARD -i tap200i0 -j ACCEPT
-A FORWARD -i tap100i0 -j ACCEPT
-A fail2ban-ssh -s 91.197.232.109/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 218.65.30.210/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -s 116.31.116.21/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Fri Mar 17 13:13:16 2017

ifconfig
eth0      Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          
          

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          

tap100i0  Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
         

tap200i0  Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
         

vmbr0     Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX
          inet addr:XXX.XXX.XXX.XXX  Bcast:XXX.XXX.XXX.XXX  Mask:255.255.255.224
          inet6 addr: XXXXXXXX Scope:Link
          
ip route list
default via XXX.XXX.XXX.XXX dev vmbr0
AAA.AAA.AAA.AAA dev vmbr0  scope link
BBB.BBB.BBB.BBB dev vmbr0  scope link
XXX.XXX.XXX.XXX/27 dev vmbr0  proto kernel  scope link  src XXX.XXX.XXX.XXX

Содержимое контейнеров не менялось. т.е. конфиги там никакие не правились. Думаю смысла нет ими захламлять тему. Что еще показать - напишите.

/etc/network/interfaces
И опенВПН на какой ифейс вешаешь?

Glafir
()
-A POSTROUTING -o vmbr0 -j MASQUERADE -A POSTROUTING -o eth0 -j MASQUERADE

Это зачем, если у тебя на двух гостях выделенные IP?

Glafir
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.