Packages for Jails?

Miroslav Lachman 000.fbsd at quip.cz
Sat Apr 30 19:34:52 CEST 2011


Ivan Dolnák wrote:
>> Nasledne jsem resil jeste beh pres jednu ip na hostitelskem systemu ale
>> to bylo pomerne trivialni pres pf.
>> Vilem
>
>
> Môžete popísať to riešenie cez pf? Mám síce dostatok verejných IPv4
> adries, ale vaše riešenie ma zaujalo.

Neni to nic sloziteho, jaily se spousti s nejakou privatni IP adresou z 
rozsahu (192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8) bud na lo0 nebo se 
da vytvorit lo1 a na nej nasazet tyto adresy (ifconfig create, nebo v 
rc.conf cloned_interfaces) a pak uz jen staci v pf.conf nastavit NAT/RDR 
translation rules.

> Pre upresnenie, malo by ísť o cca 10 jailov pre testovanie niektorých
> balíčkov. Inštalácia bude vo všetkých rovnaká. Všade bude root a jeden
> účet naviac. Všetko rovnaké meno/heslo pre jednotlivé jaily. Oddelené
> od Internetu firewallom na smerovači. Napadla ma možnosť použiť aj
> NFS/NIS.
>
> Zvyšných cca 5 jailov by malo byť vyhradených pre rozličné serverové
> služby v reálnej prevádzke (DNS, WEB, Asterisk, atd.).

Tady muze mit bud kazdy jail svou adresu a tu svou sluzbu provozovat na 
samostatne adrese a portu, nebo, pokud v kazdem jailu bezi jina sluzba, 
mohou na venek pouzivat jedinou IP a opet pouzit NAT/RDR... a nebo je tu 
jeste jedna moznost, kterou jsem sice nezkousel, ale myslim, ze by mela 
byt teoreticky mozna - tech 5 jailu spustit se stejnou IP adresou - to 
by melo byt mozne provozovat za predpokladu, ze v kazdem jailu bezi 
sluzby na jinem portu a nebudou tedy kolidovat (napriklad nelze pustit v 
kazdem z tech jailu sshd na standardnim portu 22, ale lze v jednom 
pustit DNS na portu 53, v druhem Web na 80 a ve tretim MySQL na 3306 - 
vsechny pak mohou mit stejnou IP)
Pokud se pletu, tak me nekdo opravte, ale mam pocit, ze by to takhle 
melo fungovat minimalne od te doby, co funguje Multi-IP/No-IP jail (asi 
kolem FreeBSD 7.2 nebo 7.3)

Mirek


More information about the Users-l mailing list