Történt, hogy felhúztam egy vadonatúj Debian Jessie-t a szervernek vett gépemre és úgy döntöttem, hogy az egyszerűség kedvéért lxc konténerekbe pakolom a rajta futó szolgáltatásokat (legalábbis amit tudok).
Debianból csak egy minimal install, rá az lxc, konténerbe egy másik jessie:
lxc-create -t download -n xxx
Debian, jessie, amd64 - szépen és gyorsan felment. Első körben bridged network volt beállítva, de úgy döntöttem, hogy jobban kézben tudom tartani az egészet, ha NAT mögé rakom a konténereket. Hurrá, működik. Akkor mehet bele a squid3, a host-on meg beállítottam a port forwardot, hogy a 3128-as port menjen át a konténerbe. Ez is működik. Aztán néhány nap után bementem a virustotal.com-ra ellenőrizni valamit, ahol kaptam egy linket a sucuri.net oldalra. Igen ám, de az oldal nem akart bejönni. Először azt hittem, döglött a lap, de nem, proxy nélkül működik. WTF????
Eltelt pár hét nagyjából, ma megint előszedtem a témát, mert nem akartam elhinni, hogy pont egy biztonságtechnikával foglalkozó lapot ne lehessen proxy-n át elérni. Hm... a konténerben a /etc/network/interfaces tökéletes. Ennek ellenére az "ip ad" kimenetében szerepelt egy 192.168.100.10/24 és egy 192.168.100.10/8-as cím is. Na ezt végképp nem értettem. Kicsit alaposabban utánanézve: a konténer saját konfigjában is be volt állítva az IP cím, így:
lxc.network.ipv4 = 192.168.100.10
Elő a doksit, kiderült, hogy ez így nem nyerő, mert ez így (ki tudja, miért) /8-as címként állítódik be. És mindez fel sem tűnt volna, ha történetesen a sucuri.net IP címe nem 192.x.x.x... ettől kezdve ugye a konténer lokális címként próbálta kezelni az összes 192.x.x.x címet, köztük a sucuri.net-t is. Anno túlságosan hozzászoktam, hogy a netmask automatikusan az adott cím osztályához állítódik, szóval 192.168.x.x/16, 172.16.x.x/12 illetve 10.x.x.x/8 ha nincs más megadva. Itt meg ez a nyomorult lxc tojt minderre és berakta magát /8-asként.