Talvez o seu contêiner tenha uma interface venet , que possui restrições de segurança. Você precisa usar interfaces veth para enviar difusões e outros pacotes fora do padrão. Veja Diferenças entre venet e veth .
Estou executando o CentOS 5.3 em um contêiner openVZ e estou recebendo erros de "operação não permitida" do Nmap.
[root@test nmap-5.21]# ./nmap scanme.nmap.org
Starting Nmap 5.21 ( http://nmap.org )
at 2010-12-12 17:03 MSK
Warning: File ./nmap-services exists,
but Nmap is using
/usr/local/share/nmap/nmap-services
for security and consistency reasons.
set NMAPDIR=. to give priority to
files in your local directory (may
affect the other data files too).
sendto in send_ip_packet: sendto(4,
packet, 28, 0, 64.13.134.52, 16) =>
Operation not permitted
Offending packet: ICMP 127.0.0.1 >
64.13.134.52 echo request (type=8/code=0) ttl=46 id=49000
iplen=28 sendto in send_ip_packet:
sendto(4, packet, 40, 0, 64.13.134.52,
16) => Operation not permitted
Offending packet: ICMP 127.0.0.1 >
64.13.134.52 Timestamp request (type=13/code=0) ttl=49 id=23010
iplen=40
sendto in send_ip_packet: sendto(4,
packet, 40, 0, 64.13.134.52, 16) =>
Operation not permitted
Offending packet: ICMP 127.0.0.1 >
64.13.134.52 Timestamp request (type=13/code=0) ttl=56 id=36657
iplen=40
sendto in send_ip_packet: sendto(4,
packet, 28, 0, 64.13.134.52, 16) =>
Operation not permitted
Offending packet: ICMP 127.0.0.1 >
64.13.134.52 echo request (type=8/code=0) ttl=51 id=43181
iplen=28
Note: Host seems down. If it is really
up, but blocking our ping probes, try
-PN Nmap done: 1 IP address (0 hosts up) scanned in 3.15 seconds
Não tenho regras de iptables definidas.
Como posso fazer isso funcionar?
Talvez o seu contêiner tenha uma interface venet , que possui restrições de segurança. Você precisa usar interfaces veth para enviar difusões e outros pacotes fora do padrão. Veja Diferenças entre venet e veth .
Eu sei que esta questão é antiga, mas eu tenho encontrado esse problema no Debian 8 e no CentOS 7 e não consegui encontrar uma resposta (este é um dos principais resultados da pesquisa). O descarregamento de TCP e segmentação parece ter sido o problema, e você pode desativá-lo instalando o "ethtool" e executando:
ethtool -K eth0 rx off tx off gso off tso off
Pode valer a pena rever quais opções foram alteradas com este comando:
ethtool --show-offload eth0
Todos os recursos que você vê lá podem ser ativados / desativados, especificando-os como um acrônimo (por exemplo, "generic-segmentation-offload"="gso"). Eles estão ativados por um motivo, então você vai querer ler o que eles fazem.
E aqui está uma Resposta persistente e reinicialização específica do CentOS .
Editar: Como a proteção de pacotes inválidos e mal formados é incorporada ao kernel, também é necessário permitir pacotes inválidos de saída, pois o Nmap usa técnicas divertidas para verificar:
iptables -I OUTPUT -m state --state INVALID -j ACCEPT