major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки работает :)

(В ответ на комментарий №1)
> major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки
> работает :)

А какой смысл от такого контейнера без адресов? 

P.S. 2aspsk: кнопка "На главную страницу" тоже ничего не делает

Действительно major. Если после создания вернуться на главную, запустить машину а потом зайти в настройки, то добавить ip-адрес можно.

(В ответ на комментарий №3)
> добавить ip-адрес можно.

Добавить-то можно, но это ни на что не влияет. Даже после перезапуска машина этот адрес не получила (не пингуется).

Баг на alterator-mkve не подтверждается: на ham1 все работает.

Однако, выданный адрес действительно не пингуется снаружи хоста.
Так что это проблема чисто vz-шная. Предлагаю перевесить этот
баг на правильный продукт.

Виновник найден. Его зовут alterator-net-iptables.
Открывашка портов не открывает порты на адреса,
выданные vz-машинам.

(В ответ на комментарий №6)
> Виновник найден. Его зовут alterator-net-iptables.
> Открывашка портов не открывает порты на адреса,
> выданные vz-машинам.

Повесьте на него багу, пожалуйста, блокирующую #19564

актуально?

Прошу комментарий от заявителя.

Актуально. Попасть в свежеустановленный контейнер невозможно.

Попробую сформулировать проблему с точки зрения altertor-net-iptables. Вероятно, я не вполне все понимаю с vz-контейнерами, так что поправляйте, если что...

У нас на машине есть внутренние и внешние интерфейсы. Под контейнер создается некоторый новый странный интерфейс (по умолчанию - внутренний). При обращении из внешней сети к контейнеру мы натыкается на то, что FORWARD с внешних интерфейсов у нас всегда закрыт.

Проблема в том, что непонятно, как запихать разные сложные случаи в простой интерфейс (который все еще хочется сохранить простым).

Например, можно было бы открыть FORWARD с внешних интерфейсов на внутренние для указанных в интерфейсе "открытых" сервисов. Но это будет означать, что в интерфейсе мы открываем доступ к некоторому одинаковому списку портов не только самого сервера, но и всех его внутренних подсетей, всех контейнеров. Кажется, что это неправильно. А разделять открытые порты для разных интерфейсов - это радикальное изменение (и усложнение) всей идеологии alterator-net-iptables.

Еще вариант -- при создании и настройки контейнера сделать тривиальные правила DNAT (как обычно, через alterator-net-iptables) на те порты, которые этому контейнеру нужно открыть. Но их придется как-то определять - автоматически или через специальный интерфейс, для каждого контейнера отдельно...

Обсудив с vitty и george, решили сделать следующюю схему:

* Если у контейнера имеется никому не известный ip - то мы, как и раньше, вынуждены делать вручную те правила DNAT, которые нам нужны. (То есть контейнер получается спрятанным за нашим файерволом, а мы открываем то, что нужно.)

* Если у контейнера есть интерфейс из внешней сети, то мы полностью разрешаем доступ на этот контейнер из этой (только этой) внешней сети. 

(технически: для каждого внешнего интерфейса находим сеть; разрешаем форвардинг с этого интерфейса в эту сеть)

alterator-net-iptables-3.2-alt1 -> sisyphus:

* Thu Aug 13 2009 Vladislav Zavjalov <slazav@altlinux> 3.2-alt1

- Allow forwarding from each external iface to its networks (closes: #20143)
- net-tc: some fixes

Нужели наконец?
2cas: проверьте, пожалуйста. Пока боюсь поздравлять.

Работает.