jail s vice IP

Vilem Kebrt vilem.kebrt at gmail.com
Wed Jul 15 13:07:50 CEST 2015

Previous message: jail s vice IP
Next message: jail s vice IP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Ja jsem pred nedavnem resil to ze mam pouze jednu ipv6 a to jeste skrze 
tunneling(na hlavnim systemu).
Nicmene jsem chtel ostatni sluzby aby tam sly take.
u HTTP/HTTPs to slo jednoduse pomoci reverzni proxy co tam mam (nginx), 
ale u smtp/smtps, imap/imaps a pop3/pop3s jsem narazil.
Nakonec to skoncilo jednoduchym skriptem za pomoci socatu:
#!/bin/sh

# SMTP/SMTPs #
nohup socat TCP6-LISTEN:25,fork TCP4:<ipv4_jail>:25 &
nohup socat TCP6-LISTEN:465,fork TCP4:<ipv4_jail>:465 &

# POP3/POP3s #
nohup socat TCP6-LISTEN:110,fork TCP4:<ipv4_jail>:110 &
nohup socat TCP6-LISTEN:995,fork TCP4:<ipv4_jail>:995 &

# IMAP/IMAPs #
nohup socat TCP6-LISTEN:143,fork TCP4:<ipv4_jail>:143 &
nohup socat TCP6-LISTEN:993,fork TCP4:<ipv4_jail>:993 &

A svete div se , funguje to bez potizi , proste jsem si "udelal reverz 
proxy" na ostatni protokoly timhle stylem :)
Vilem




On 07/15/2015 09:57 AM, Zbyněk Burget wrote:
> Dne 15. 7. 2015 v 7:56 Vilem Kebrt napsal(a):
>> Ahoj,
>> obavam se ze localhost je softwareova zalezitost kernelu, tech vic 
>> asi vazne neudelas, zvlaste v jailu kde je spousta veci zamerne 
>> zakazanych.
>
> Konfigurace jailu tak, aby na nem bylo vice IP adres, by mela byt 
> mozna. Podle informaci, ktere jsem nasel by pri komunikaci jailu na 
> adresu 127.0.0.1 mela byt pouzita prvni IP adresa, ktera je jailu 
> pridelena. Coz podle mych zjisteni asi funguje. Co mne prekvapilo je, 
> ze jail pri vice IP adresach prestane komunikovat do urciteho smeru 
> ven ze stroje.
>
>> Navic na co to prosimte potrebujes ?
>> Ja osobne mam nekolik jailu propojenych skrze lo1 na kterem mam 
>> privatni rozsah a ven jdou pres jednu ip pomoci pf natu (oddelene 
>> jaily pro ruzne sluzby serveru).
>
> Na routeru mi bezi nekolik dalsich sluzeb (napriklad dns), ktere mam 
> povesene v samostatnych jailech. A jaily jsou na verejnych adresach, 
> takze je nemusim nikde proNATovavat. Mam to tak proto, abych v pripade 
> potreby mohl danou sluzbu snadno presunout na jiny fyzicky stroj, aniz 
> bych musel menit IP adresu daneho serveru. Ma to ale jeden hacek a to 
> je to, ze mi pak vsechny aplikace v jailu visi na te verejne adrese. 
> Neprijemne je to hlavne v pripade sendmailu, ktery pak nebezi jen na 
> localhostu, ale na verejne IP. Takze to musim ruzne obchazet. Kdyz 
> jsem nasel informaci o tom, ze jail muze mit vice IP adres a bylo to 
> popsano prave s ohledem na vytvoreni loopbacku v jailu, zajasal jsem a 
> jal se to otestovat. Ovsem cim prudsi byl rozbeh, o to tvrdsi byl 
> naraz :-)
> Zamer je, aby na verejne bezelo jen to, co tam bezet ma a ostatní 
> sluzby, ktere tam bezet nemají (syslog, sendmail) budou povesene jen 
> na localhost. Tohle se mi bez problemu povedlo nakonfigurovat. Jediny 
> (bohuzel fatalni) problem je, ze mi ten jail nekomunikuje smerem ven 
> do sveta.
>
> Uz ani nevim, ktera verze FBSD byla jako prvni, kde jsem jaily zacal 
> pouzivat, ale bylo to nekdy v roce 2004. Jsem s tim maximalne 
> spokojeny, jen ten neexistujici loopback mi tam chybi.
>
>
>
> Zbyněk Burget
> Mlýnská 397
> 798 26 Nezamyslice
>
> tel: 588 580 000, 739 930 931
> http://www.burgnet.cz
> IČ:  606 88 220; DIČ: CZ7210184674
>

-- 

S pozdravem Vilem Kebrt
email: vilem.kebrt na gmail.com

Previous message: jail s vice IP
Next message: jail s vice IP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list