iankelling.org / git / newns / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
improve wording
[newns] / newns
diff --git a/newns b/newns
index 31f1b528c80bdab325c17631adf5c6245c745895..b45c994987c208e9aa570552e2b8c85987c8c3fe 100755 (executable)
--- a/newns
+++ b/newns
@@ -37,15 +37,18 @@ fi
 
 usage() {
     cat <<EOF
 
 usage() {
     cat <<EOF
-usage: ${0##*/} [OPTS] start|stop NETNS_NAME
+usage: ${0##*/} [OPTS] start|stop NS_NAME
 Setup new or systemd created network namespace with nat and mount namespace
 
 -c, --create    Create network namespace. For running outside systemd private net.
 -h, --help      Show this help and exit.
 
 Setup new or systemd created network namespace with nat and mount namespace
 
 -c, --create    Create network namespace. For running outside systemd private net.
 -h, --help      Show this help and exit.
 
-From within systemd network namespace, nat it to the outside. If given
--c, or if in the default network namespace, create a named network
-namepace natted to the current netns.
+From within a systemd network namespace, nat it to the outside. This
+would be called from ExecStartPre, and or subsequent units called with
+JoinsNamespaceOf= and PrivateNetwork=true.
+
+If given -c, or if in the default network namespace, create a named
+network namepace natted to the current netns.
 
 Uses /24 network, finding the first locally unused one starting at
 10.173.0.
 
 Uses /24 network, finding the first locally unused one starting at
 10.173.0.
@@ -54,7 +57,7 @@ Also create a named mount namespace under /root/mount_namespaces, so we
 can alter some system config for this namespace. Subsequent systemd
 command lines would be prefixed with:
 
 can alter some system config for this namespace. Subsequent systemd
 command lines would be prefixed with:
 
-/usr/bin/nsenter --mount=/root/mount_namespaces/NETNS_NAME
+/usr/bin/nsenter --mount=/root/mount_namespaces/NS_NAME
 
 Note, this means that they can't run as unpriveledged users, but once
 systemd 233 comes out, it will have a bind mount option from within unit
 
 Note, this means that they can't run as unpriveledged users, but once
 systemd 233 comes out, it will have a bind mount option from within unit
@@ -68,8 +71,16 @@ https://iankelling.org/git/?p=errhandle, set ERRHANDLE_PATH, or put it
 in a directory adjacent to the absolute, resolved directory this file is
 in.
 
 in a directory adjacent to the absolute, resolved directory this file is
 in.
 
-Background: "ip netns new ..." also does a mount namespace, then bind
-mounts each file/dir in /etc/netns/NETNS_NAME to /etc/NETNS_NAME. Note,
+Background:
+
+This script does not make the namespace be named like ip does, because
+the naming is not necessary, although it could have been done with some
+more work. For debugging and joining the namespace with a bash shell, I
+use nsenter -n -m -t $(pgrep PROCESS_IN_NAMESPACE).  Note: if I knew how
+to easily ask systemd what pid a unit has, i would do that.
+
+"ip netns new ..." also does a mount namespace, then bind
+mounts each file/dir in /etc/netns/NS_NAME to /etc/NS_NAME. Note,
 for openvpn having it's own resolv.conf by using it's user script which
 calls resolvconf, this doesn't help much. What we actually want to do is
 copy /run/resolvconf somehwere then bind mount it on top of
 for openvpn having it's own resolv.conf by using it's user script which
 calls resolvconf, this doesn't help much. What we actually want to do is
 copy /run/resolvconf somehwere then bind mount it on top of
@@ -82,7 +93,7 @@ EOF
 }
 
 
 }
 
 
-## begin arg parsing ##
+#### begin arg parsing ####
 create=false
 temp=$(getopt -l help,create hc "$@") || usage 1
 eval set -- "$temp"
 create=false
 temp=$(getopt -l help,create hc "$@") || usage 1
 eval set -- "$temp"
@@ -99,11 +110,10 @@ if (( $# != 2 )); then
 fi
 
 action=$1
 fi
 
 action=$1
-nn=$2 # network namespace / namespace name
-## end arg parsing ##
-
-## begin sanity checking ##
+nn=$2 # namespace name
+#### end arg parsing ####
 
 
+#### begin sanity checking ####
 install_error=false
 if ! type -p ip &>/dev/null; then
     echo "please install the iproute2 package"
 install_error=false
 if ! type -p ip &>/dev/null; then
     echo "please install the iproute2 package"
@@ -116,8 +126,7 @@ fi
 if $install_error; then
     exit 1
 fi
 if $install_error; then
     exit 1
 fi
-
-##   end sanity checking ##
+####   end sanity checking ####
 
 
 v0=veth0-$nn
 
 
 v0=veth0-$nn
@@ -128,10 +137,10 @@ if ! $create && [[ $(readlink /proc/self/ns/net) == "$(readlink /proc/1/ns/net)"
     create=true
 fi
 
     create=true
 fi
 
+# make the default network namespace be named
 target=/run/netns/default
 if [[ ! -e $target && ! -L $target ]]; then
     mkdir -p /run/netns
 target=/run/netns/default
 if [[ ! -e $target && ! -L $target ]]; then
     mkdir -p /run/netns
-    # make the default network namespace be named
     ln -s /proc/1/ns/net $target
 fi
 
     ln -s /proc/1/ns/net $target
 fi
 
@@ -146,7 +155,7 @@ fi
 dexec() { ip netns exec default "$@"; }
 
 
 dexec() { ip netns exec default "$@"; }
 
 
-# head -n1 is defensive. Not sure if there is some weird feature
+# background: head -n1 is defensive. Not sure if there is some weird feature
 # for 2 routes to be 0/0.
 gateway_if=$(ipd route list exact 0/0 | head -n1| sed -r 's/.*\s(\S+)\s*$/\1/')
 nat() { dexec iptables -t nat $1 POSTROUTING -o $gateway_if -j MASQUERADE \
 # for 2 routes to be 0/0.
 gateway_if=$(ipd route list exact 0/0 | head -n1| sed -r 's/.*\s(\S+)\s*$/\1/')
 nat() { dexec iptables -t nat $1 POSTROUTING -o $gateway_if -j MASQUERADE \
@@ -168,13 +177,13 @@ find_network() {
 }
 
 start() {
 }
 
 start() {
-
     find_network
     if ! $found; then
         echo "$0: error: no open network found"
         exit 1
     fi
 
     find_network
     if ! $found; then
         echo "$0: error: no open network found"
         exit 1
     fi
 
+    #### begin mount namespace setup ####
     mkdir -p /root/mount_namespaces
     if ! mountpoint /root/mount_namespaces >/dev/null; then
         mount --bind /root/mount_namespaces /root/mount_namespaces
     mkdir -p /root/mount_namespaces
     if ! mountpoint /root/mount_namespaces >/dev/null; then
         mount --bind /root/mount_namespaces /root/mount_namespaces
@@ -186,6 +195,7 @@ start() {
     if ! mountpoint /root/mount_namespaces/$nn >/dev/null; then
         unshare --mount=/root/mount_namespaces/$nn
     fi
     if ! mountpoint /root/mount_namespaces/$nn >/dev/null; then
         unshare --mount=/root/mount_namespaces/$nn
     fi
+    ####   end mount namespace setup ####
 
 
     if $create; then
 
 
     if $create; then
@@ -193,8 +203,6 @@ start() {
         ip -n $nn link set dev lo up
     fi
 
         ip -n $nn link set dev lo up
     fi
 
-
-
     echo 1 | dexec dd of=/proc/sys/net/ipv4/ip_forward 2>/dev/null
 
     _errcatch_cleanup=stop
     echo 1 | dexec dd of=/proc/sys/net/ipv4/ip_forward 2>/dev/null
 
     _errcatch_cleanup=stop
Nat a network namespace. systemd friendly