Packages for Jails?
Miroslav Lachman
000.fbsd at quip.cz
Sat Apr 30 19:34:52 CEST 2011
Ivan Dolnák wrote:
>> Nasledne jsem resil jeste beh pres jednu ip na hostitelskem systemu ale
>> to bylo pomerne trivialni pres pf.
>> Vilem
>
>
> Môžete popísať to riešenie cez pf? Mám síce dostatok verejných IPv4
> adries, ale vaše riešenie ma zaujalo.
Neni to nic sloziteho, jaily se spousti s nejakou privatni IP adresou z
rozsahu (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) bud na lo0 nebo se
da vytvorit lo1 a na nej nasazet tyto adresy (ifconfig create, nebo v
rc.conf cloned_interfaces) a pak uz jen staci v pf.conf nastavit NAT/RDR
translation rules.
> Pre upresnenie, malo by ísť o cca 10 jailov pre testovanie niektorých
> balíčkov. Inštalácia bude vo všetkých rovnaká. Všade bude root a jeden
> účet naviac. Všetko rovnaké meno/heslo pre jednotlivé jaily. Oddelené
> od Internetu firewallom na smerovači. Napadla ma možnosť použiť aj
> NFS/NIS.
>
> Zvyšných cca 5 jailov by malo byť vyhradených pre rozličné serverové
> služby v reálnej prevádzke (DNS, WEB, Asterisk, atd.).
Tady muze mit bud kazdy jail svou adresu a tu svou sluzbu provozovat na
samostatne adrese a portu, nebo, pokud v kazdem jailu bezi jina sluzba,
mohou na venek pouzivat jedinou IP a opet pouzit NAT/RDR... a nebo je tu
jeste jedna moznost, kterou jsem sice nezkousel, ale myslim, ze by mela
byt teoreticky mozna - tech 5 jailu spustit se stejnou IP adresou - to
by melo byt mozne provozovat za predpokladu, ze v kazdem jailu bezi
sluzby na jinem portu a nebudou tedy kolidovat (napriklad nelze pustit v
kazdem z tech jailu sshd na standardnim portu 22, ale lze v jednom
pustit DNS na portu 53, v druhem Web na 80 a ve tretim MySQL na 3306 -
vsechny pak mohou mit stejnou IP)
Pokud se pletu, tak me nekdo opravte, ale mam pocit, ze by to takhle
melo fungovat minimalne od te doby, co funguje Multi-IP/No-IP jail (asi
kolem FreeBSD 7.2 nebo 7.3)
Mirek
More information about the Users-l
mailing list