我还将此作为 Fedora bug 问题提交,这里。
我不确定这是否是一个错误,但这是我突然出现的问题。
Linux/LXC 单机集群设置
我使用 Fedora x86_64(当前为 Fedora-25)作为 LXC/HOST O/S。我将 CentOS-6 x86_64(当前为 CentOS-6.9 Final)用于六个(数量 6)LXC/GUEST O/S。
这已经工作了很长一段时间(几年),但在“sudo dnf -y update”(主机)和“sudo yum -y update”(客人)之后突然不起作用。自从我启动这个 HOST/GUESTS LXC“集群”以来已经有几个月了,像往常一样,操作系统更新是我执行的第一件事。如果在此期间某些底层系统级组件/行为发生变化,这可能会提供提示。
Fedora HOST 和 CentOS-6 GUESTS 位于同一子网中,并共享相同的默认路由器:192.168.0.0/24; 192.168.0.1(所有标准内容)。
Fedora 主机没有安装任何firewall/firewalld RPM 软件包,因此不运行防火墙。我很久以前就删除了它以简化事情。
问题
对主机和来宾执行上述操作系统更新后,从任何来宾内部,我无法再(A)成功 ping/ssh 来宾到来宾或(二)ping 默认路由器。
但是,我可以 ping/ssh 主机到访客和访客到主机,没有任何问题。
从该设置之外的任何计算机(顺便说一下,它们也位于同一子网中并共享与上面相同的默认路由器),我可以 ping/ssh 到主机,但不能到任何访客。
除了执行上述操作系统更新之外,我没有更改任何内容。
一些输出
这是主机的输出:主机.txt
这是 GUEST 的输出:ONE_GUEST.txt
请注意,GUEST 被命名为 vps00、vps01、vps02、vps03、vps04 和 vps10,并且除了 MAC 和 IP 地址之外具有相同的配置(因此我只提供其中之一的输出)。而HOST被命名为lxc-host。在整个附件中,您会看到我用一些注释来注释它们。
有任何想法吗?先感谢您。 :)
答案1
感谢公认在此回答邮政,我终于弄清楚了iptables(1M)丢失的条目。他们来了:
sudo iptables -A INPUT -i eth0 -j ACCEPT
sudo iptables -A INPUT -i br0 -j ACCEPT
sudo iptables -A FORWARD -i br0 -j ACCEPT
我不知道 Fedora HOST O/S 发生了什么变化以使这些条目突然不存在(意思是在执行“dnf -y 更新;重启“在几个月没有这样做之后),但我肯定很想知道,因为现在我必须在某个地方对这些条目进行硬编码(我对哈哈并不感到兴奋)。
我希望这能帮助像我一样为 LXC 客人搭建桥梁的其他人。
添加-1:
以下是我在交互式执行上述命令(在内存中)后用于永久合并它们的命令序列:
root# cd /etc/sysconfig/
root# cp iptables iptables.FCS # Backup the current contents.
root# iptables-save > ./iptables # Overwrite with in-memory contents.
root# reboot
root# sudo systemctl start iptables.service # Not yet committed.
root# sudo iptables -L -n -v | more # Inspect in-memory. changes
root# sudo systemctl enable iptables.service # If all looks good, commit them permanently.