|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по FreeBSD » Еще раз про jail |
|
||||
|
|
Еще раз про jail
|
Ветеран Сообщения: 1051 |
Что есть:
Есть клетка в которой работают все сервисы. На основном сервере только ssh. Клетка пока висит на алиасе внутреннего интерфейса. Хотелось бы: чтобы одна и та же клетка моталась на двух алиасах (внутреннего и внешнего интерфейса). Возможно ли это как-то реализовать? Будет ли работать такое: jail /server/jail myserver.ru 192.168.1.2 /bin/sh /etc/rc jail /server/jail myserver.ru external_ip /bin/sh /etc/rc |
|
|
------- Отправлено: 12:35, 14-08-2006 |
Пользователь Сообщения: 103
|
Профиль | Сайт | Отправить PM | Цитировать Таким образом получится два jail, вобщем даже возможен конфликт.
Должна быть возможность редиректнуть сервисы с внешнего алиасного интерфейса на внутренний интерфейс jail при помоши фаервола. Вобщем рекомендую прочитать мануал на какой-нибудь фаервол (рекомендую pf), и man rc.conf, чтобы найти переменную для разрешения прохождения пакетов между интерфейсами (что-то вроде ip_forwarding, не точно помню) |
|
------- Отправлено: 12:57, 14-08-2006 | #2 |
|
Ветеран Сообщения: 1051
|
Профиль | Отправить PM | Цитировать misher
мне нужно несколько другое. Я хотел бы чтобы некоторые сервисы jail работали только внутри и снаружи не слушались. Как это реализовать? ведь ifconfig в jail выдает Код:
 em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:04:23:ab:f1:b8
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether 00:04:23:bb:f1:b9
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
|
|
------- Отправлено: 13:22, 14-08-2006 | #3 |
|
Пользователь Сообщения: 103
|
Профиль | Сайт | Отправить PM | Цитировать Цитата:
Ну да ладно, тогда опять в фаервол в руки и блокировать пакеты из внешней сети к jail ifconfig не говорит что сервисы видны на интерфейсе em1... А просто сообщает о наличии в системе такого. |
|
|
------- Отправлено: 14:02, 14-08-2006 | #4 |
|
Ветеран Сообщения: 1051
|
Профиль | Отправить PM | Цитировать misher
Цитата:
В конечном варианте будет совсем иначе: Код:
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether 00:04:23:ab:f1:b8
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet external_ip netmask 0xffffff00 broadcast external
ether 00:04:23:bb:f1:b9
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
Соответственно, если поступать так как ты говоришь через firewall, то на основном сервере надо будет добавить правила запрещающие доступ к отдельным сервисам из-вне. И разрешить из локальной сети. Можно пример реализации на ipfw тут нарисовать, либо дать ссылку на manual по такому варианту? Я что-то смутно как-то себе это представляю. |
||
|
------- Отправлено: 14:34, 14-08-2006 | #5 |
|
Пользователь Сообщения: 103
|
Профиль | Сайт | Отправить PM | Цитировать Цитата:
Если ищешь мануал для pf то команда man pf, там внимательно читаешь про: pass, block, rdf - этого должно хватить. |
|
|
------- Отправлено: 15:02, 14-08-2006 | #6 |
|
Ветеран Сообщения: 1051
|
Профиль | Отправить PM | Цитировать misher
pf в паре с ipfw можно юзать я так понимаю. Очередность прохода пакетов какая? ipfw -> pf или pf -> ipfw ? тут второй вопрос родился: можно ли рулить сервисами клетки с основного сервера, не подключаясь шеллом непосредственно к клетке? |
|
Отправлено: 17:18, 14-08-2006 | #7 |
|
Пользователь Сообщения: 103
|
Профиль | Сайт | Отправить PM | Цитировать Сожительство pf и ipfw - я такого не видел,
в принципе на ipfw эту задачу тоже можно выполнить пример конфига для pf: Код:
jail_ip = 192.168.1.1 map_ip = 192.168.1.2 rdr from any to $map_ip -> $jail_ip block all block from any to $jail_ip block from $jail_ip to any #Тут можно открыть необходимый доступ для jail_ip pass from any to $jail_ip редиректом в ipfw кажется занимается fwd Цитата:
Нет желания входить на клетку через telnet и тому подобное? Впринципе править файлы клетки можно прямо с главного сервера, но рискуешь попутать на файлах идентификаторы пользователей, груп - вобщем так делать можно, только осторожно. Или можно также как запускаешь jail, вместо /etc/rc указать /bin/csh. Вобщем лучше и удобнее нормального (сетевого) входа в систему вроде как и нет... |
|
|
------- Отправлено: 18:50, 14-08-2006 | #8 |
just mar
Сообщения: 3904
|
Профиль | Отправить PM | Цитировать /маленькое дополнние - pf работает не вместе с, а вместо ipfw/
|
|
Последний раз редактировалось mar, 21-08-2006 в 20:06. Отправлено: 19:52, 14-08-2006 | #9 |
|
Новый участник Сообщения: 26
|
Профиль | Сайт | Отправить PM | Цитировать Цитата:
|
|
|
------- Отправлено: 02:08, 21-08-2006 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Route/Bridge - Еще раз о DC++ через роутер | YuriPet | Сетевые технологии | 1 | 22-09-2008 11:48 | |
| Приобретение - Еще раз про лицензирование на несколько организаций | CASHis | Лицензирование продуктов Microsoft | 0 | 19-12-2007 07:43 | |
| еще раз про два монитора | hellrised | Хочу все знать | 5 | 08-12-2006 11:09 | |
| Еще раз о Windows ME Update | Nealles | Microsoft Windows 95/98/Me (архив) | 5 | 26-06-2004 09:01 | |
|
|
Время: 16:49. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
