SK
а вообще может имеет смысл вообще отключить фаерволл проксокса, поставить иптаблес-персистент, и в файле конфигурации уже настроить всё как мне надо
Size: a a a
2021 June 01
DS
имхо он очень удобный
DS
с кластера на кластер переносится 1 файликом
SK
там как понял нет правил на форвард даже, то есть все правила расчитаны на фильтрацию доступа к самой хост системе
DS
а еще там нет native-dhcp . был бы то большинство и роутеров бы не пихали в вм
хотя примеров достаточно)
хотя примеров достаточно)
SK
у меня был в одной инсталляции роутерос в виртуалке, и через этот роутерос же доступ был к хостсистеме из вне, и случился случай что что то пошло не так пришлось физически к серверу ехать, но к своему серверу еще доеду, а к дедику в цоде где нет квм это будет уже всё потеряно, если только в каком то рековери грузиться и править конфиги хост системы что бы ип перехватить обратно
DS
купите доп ип 1-4$
AD
ну не, сложна как-то. Я боюсь ipv6
Лучше уж двойной НАТ пусть будет в таком случае
Логика построения:
1) у Прокса должно быть два бриджа: vmbr0 и vmbr1
vmbr0 привязан к eth0 и имеет айпишник и шлюз
vmbr1 "пустой"
2) ВМ-роутер имеет два интерфейса. net0 и net1
net0 в vmbr0, и это будет WAN-порт для ВМ-роутера
net1 в vmbr1, и это будет LAN-порт для ВМ-роутера
3) Все ВМ-ки имеют по одному интерфейсу, и он внутри vmbr1
Таким они общаются только с ВМ-роутером, и мир видят через него, плюс все фишки типа DHCP и т.д.
4) На Проксе действительно настроить файрволл нужно только один раз. Открыть порты на сервисы самого Прокса плюс диапазон на ВМ-роутер
Лучше уж двойной НАТ пусть будет в таком случае
Логика построения:
1) у Прокса должно быть два бриджа: vmbr0 и vmbr1
vmbr0 привязан к eth0 и имеет айпишник и шлюз
vmbr1 "пустой"
2) ВМ-роутер имеет два интерфейса. net0 и net1
net0 в vmbr0, и это будет WAN-порт для ВМ-роутера
net1 в vmbr1, и это будет LAN-порт для ВМ-роутера
3) Все ВМ-ки имеют по одному интерфейсу, и он внутри vmbr1
Таким они общаются только с ВМ-роутером, и мир видят через него, плюс все фишки типа DHCP и т.д.
4) На Проксе действительно настроить файрволл нужно только один раз. Открыть порты на сервисы самого Прокса плюс диапазон на ВМ-роутер
SK
блоком по 900 рублей
DS
проблемы хостера. но на ноду 900 рублей жать?)
SK
да, когда это 30% Ж)
DS
менять хостера? о чем мы вообще) го в флудилку
SK
ну то есть зарание с хост системы пробросить всё на виртуальный роутер
AD
и.м.е.н.н.о так)
DS
а айпи взять ? ну проще же)
SK
кстати при использовании в6 опять встроенный фаерволл же пролетает лесом, поддержки нет
DS
прокс всегда доступен будет и вм отдельно
ОБ
если нет кворума виртуалки не запустяться, есть много но но как бы ловил такое
DS
но зато прокс будет доступен)
AD
однозначно) Но 900 рублей я бы тоже зажал - это ж в Мак считай сходить три раза