<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Jan 30, 2014 at 5:21 PM, Thomas Huber <span dir="ltr"><<a href="mailto:miraculli@gmail.com" target="_blank">miraculli@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi out there,<br>
<br>
is it a good idea to setup a kind of virtual router inside a LXC?<br>
I got a server with dual 1Gbit Nic and the server should run several services.<br>
I also would like to use it as a router and a thought it would be quite nice to set it up inside a LXC by mapping the WAN-port with "lxc.network.type = phys“ to the Container.<br>
<br>
first of all: is this a good idea?<br>
<br></blockquote><div><br></div><div>I suggest you try it, and see if it works for your case.</div><div><br></div><div>In my case, I tested using phys for a while on a container for a somewhat busy webserver. It worked fine initially, but the problem came when I shutdown the container. The container is gone, but the interface was not visible on the host again. Which makes it impossible to restart container.</div>
<div><br></div><div>I ended up reverting to veth instead. Using that same container, the veth (on the host side) was not deleted when the container was destroyed, but I can force-destroy it using "ip link del" and "lxc.network.script.down".</div>
<div><br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
second: is it possible </blockquote><div><br></div><div>possible, yes. As long as the needed iptables modules are already loaded on the host side.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
to do all the firewalling inside the LXC or is it better (more secure) to do this at the host?<br>
<br></blockquote><div><br></div><div>That is what I usually do.</div><div><br></div><div>-- </div><div>FAN</div></div></div></div>