настройка firewall для контейнеров OPENVZ

[serrjio]

Здравствуйте! Ситуация такая:
AltLinux Server 4.1
внешний IP eth0 xxx.xxx.xxx.xxx
внешний IP eth1 yyy.yyy.yyy.yyy

котнейнеры с внутр. адресами
bind  - 172.16.0.100 - открыт порт 53 (DNS)
222 - 172.16.0.113

на родительской машине в ipconfig
-A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p udp -m udp --dport 53 -j DNAT --to-destination 172.16.0.100:53
-A PREROUTING -d xxx.xxx.xxx.xxx -i eth0 -p tcp -m tcp --dport 53 -j DNAT --to-destination 172.16.0.100:53

Если я в контейнере 222 пытаюсь делать nslookup www.ru 172.16.0.113 - всё ок
А если делаю nslookup www.ru xxx.xxx.xxx.xxx , то контейнер молчит :((

ВНИМАНИЕ ВОПРОС :)

как мне необходимо нстроить файервол чтобы из контейнера 222 можно было подключться к порту другого контейнера, обращаясь к xxx.xxx.xxx.xxx и используюя правило проброса порта из настроек файервола.

Заранее спасибо за советы.

[andgre]

что-то не понятно.
nslookup [-option] [name | -] [server]
у тебя 'nslookup www.ru 172.16.0.113' -  работать не должен.

а -A FORWARD ты не забыл ?

[serrjio]

Опечатался. Делаю nslookup www.ru 172.16.0.100 - работает
А что нужно дописать в ФОРВАРД- цепочку?

[andgre]

что вроде:
echo "1" > /proc/sys/net/ipv4/ip_forward

 -A FORWARD -p tcp -i eth0 -d 172.16.0.100 --dport 53 -j ACCEPT
 -A FORWARD -p udp -i eth0 -d 172.16.0.100 --dport 53 -j ACCEPT

[par]

 в альте даже правельнее сделать:
vi /etc/net/sysctl.conf

# IPv4 packet forwarding.
net.ipv4.ip_forward = 1

и проверим:  sysctl -a | grep forward