Root-Server 4000 SSDx4 G8SE - Proxmox 6 - zusätzliche IP exklusiv an einen Container vergeben

  • Hallo,


    ich habe leider ein kleines Problem wo ich etwas auf dem Schlauch stehe.

    Habe den Server im Sonderangebot ergattert und lasse mittels Proxmox Anwendungen als Container laufen. Habe auch eine zusätzliche IP.


    Die zusätzliche IP soll ein Container exklusiv kriegen. Die restlichen Container teilen sich die Host-IP.


    Folgendes ist die /etc/network/interfaces Datei des Proxmox Host Systems:


    So die TS und MC Container sind über die Host IP erreichbar und kriegen auch die Ports durch. Kein Problem.

    Aber: ich erreiche die TS und MC Container auch über die zusätzliche IP 91.204.X.X obwohl ich diese IP in einem Container direkt vergeben habe.


    Wie bekomme ich das getrennt? Habt ihr Ideen?


    Gruß

    rootxall

  • Wie bekomme ich das getrennt? Habt ihr Ideen?

    Setz mal beim Prerouting noch ein -d 185.163.X.X mit ein. Die Xer Blöcke natürlich anpassen. Dann sollte das gehen, meine ich. :/


    EDIT: Andere Frage - warum tust du die zweite IP exklusiv zuweisen? Was soll das können, was ein einfaches Portforwarding (Prerouting) nicht kann? Und vorallem - wie firewallst du dann den Container?

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • -d 185.163.X.X

    Klappt! Herzlichen Dank.



    Andere Frage - warum tust du die zweite IP exklusiv zuweisen?

    Hauptsächlich zum testen, mit Portforwarding über interfaces muss ich immer den ganzen Host neustarten. So kann ich einfach einen Container erzeugen, meine Tests durchführen und wenn das ganze dann so funktioniert wie ich mir das vorstelle bekommts eine interne IP und wird mit Portforwarding auf die Host-IP migriert. Manchmal will ich die Dienste aber auch bewusst IP technisch trennen um nicht mit Proxy / ähnliches arbeiten zu müssen (um z.B. zwei Webserver auf Standardports zu haben)

  • Nö musst du nicht. Du kannst iptables Befehle auch außerhalb von Post-Up eingeben, bspw. direkt in der Shell oder in einem Shell Script.

    Korrekt.


    rootxall Entweder du packst alles in ein extra Firewall Script, welches mittels iptables-persistent nach dem Systemstart direkt geladen wird (das Script flusht praktisch alles und macht eine Art reset in iptables und dann spult es alle iptables Befehle für die Regeln runter) und du jederzeit nach einer Änderung wieder ausführen kannst, oder du nutzt einfach systemctl restart networking. Das sollte auch gehen. :)

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber