Root-Server 4000 SSDx4 G8SE - Proxmox 6 - zusätzliche IP exklusiv an einen Container vergeben

  • Hallo,


    ich habe leider ein kleines Problem wo ich etwas auf dem Schlauch stehe.

    Habe den Server im Sonderangebot ergattert und lasse mittels Proxmox Anwendungen als Container laufen. Habe auch eine zusätzliche IP.


    Die zusätzliche IP soll ein Container exklusiv kriegen. Die restlichen Container teilen sich die Host-IP.


    Folgendes ist die /etc/network/interfaces Datei des Proxmox Host Systems:


    So die TS und MC Container sind über die Host IP erreichbar und kriegen auch die Ports durch. Kein Problem.

    Aber: ich erreiche die TS und MC Container auch über die zusätzliche IP 91.204.X.X obwohl ich diese IP in einem Container direkt vergeben habe.


    Wie bekomme ich das getrennt? Habt ihr Ideen?


    Gruß

    rootxall

  • Wie bekomme ich das getrennt? Habt ihr Ideen?

    Setz mal beim Prerouting noch ein -d 185.163.X.X mit ein. Die Xer Blöcke natürlich anpassen. Dann sollte das gehen, meine ich. :/


    EDIT: Andere Frage - warum tust du die zweite IP exklusiv zuweisen? Was soll das können, was ein einfaches Portforwarding (Prerouting) nicht kann? Und vorallem - wie firewallst du dann den Container?

    VPS 1000 G8 Plus | RS Rentier 2019 | VPS 200 G8 | WH 1000 SE


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • LXC Container können im Container mit iptables beschränkt werden.

    Okay. Okay, Okay...

    Wie retarded bin ich eigentlich, um zu denken, dass das nicht geht (ohne es je probiert zu haben)? ^^


    Und vorallem - wie firewallst du dann den Container?

    Vergiss das einfach. :D

    VPS 1000 G8 Plus | RS Rentier 2019 | VPS 200 G8 | WH 1000 SE


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)

  • -d 185.163.X.X

    Klappt! Herzlichen Dank.



    Andere Frage - warum tust du die zweite IP exklusiv zuweisen?

    Hauptsächlich zum testen, mit Portforwarding über interfaces muss ich immer den ganzen Host neustarten. So kann ich einfach einen Container erzeugen, meine Tests durchführen und wenn das ganze dann so funktioniert wie ich mir das vorstelle bekommts eine interne IP und wird mit Portforwarding auf die Host-IP migriert. Manchmal will ich die Dienste aber auch bewusst IP technisch trennen um nicht mit Proxy / ähnliches arbeiten zu müssen (um z.B. zwei Webserver auf Standardports zu haben)

  • Nö musst du nicht. Du kannst iptables Befehle auch außerhalb von Post-Up eingeben, bspw. direkt in der Shell oder in einem Shell Script.

    Korrekt.


    rootxall Entweder du packst alles in ein extra Firewall Script, welches mittels iptables-persistent nach dem Systemstart direkt geladen wird (das Script flusht praktisch alles und macht eine Art reset in iptables und dann spult es alle iptables Befehle für die Regeln runter) und du jederzeit nach einer Änderung wieder ausführen kannst, oder du nutzt einfach systemctl restart networking. Das sollte auch gehen. :)

    VPS 1000 G8 Plus | RS Rentier 2019 | VPS 200 G8 | WH 1000 SE


    Wer im Netz Anstand und Respekt verliert, der ist auch im realen Leben für nichts zu gebrauchen! ;)