jail s vice IP
Vilem Kebrt
vilem.kebrt at gmail.com
Wed Jul 15 13:07:50 CEST 2015
Ja jsem pred nedavnem resil to ze mam pouze jednu ipv6 a to jeste skrze
tunneling(na hlavnim systemu).
Nicmene jsem chtel ostatni sluzby aby tam sly take.
u HTTP/HTTPs to slo jednoduse pomoci reverzni proxy co tam mam (nginx),
ale u smtp/smtps, imap/imaps a pop3/pop3s jsem narazil.
Nakonec to skoncilo jednoduchym skriptem za pomoci socatu:
#!/bin/sh
# SMTP/SMTPs #
nohup socat TCP6-LISTEN:25,fork TCP4:<ipv4_jail>:25 &
nohup socat TCP6-LISTEN:465,fork TCP4:<ipv4_jail>:465 &
# POP3/POP3s #
nohup socat TCP6-LISTEN:110,fork TCP4:<ipv4_jail>:110 &
nohup socat TCP6-LISTEN:995,fork TCP4:<ipv4_jail>:995 &
# IMAP/IMAPs #
nohup socat TCP6-LISTEN:143,fork TCP4:<ipv4_jail>:143 &
nohup socat TCP6-LISTEN:993,fork TCP4:<ipv4_jail>:993 &
A svete div se , funguje to bez potizi , proste jsem si "udelal reverz
proxy" na ostatni protokoly timhle stylem :)
Vilem
On 07/15/2015 09:57 AM, Zbyněk Burget wrote:
> Dne 15. 7. 2015 v 7:56 Vilem Kebrt napsal(a):
>> Ahoj,
>> obavam se ze localhost je softwareova zalezitost kernelu, tech vic
>> asi vazne neudelas, zvlaste v jailu kde je spousta veci zamerne
>> zakazanych.
>
> Konfigurace jailu tak, aby na nem bylo vice IP adres, by mela byt
> mozna. Podle informaci, ktere jsem nasel by pri komunikaci jailu na
> adresu 127.0.0.1 mela byt pouzita prvni IP adresa, ktera je jailu
> pridelena. Coz podle mych zjisteni asi funguje. Co mne prekvapilo je,
> ze jail pri vice IP adresach prestane komunikovat do urciteho smeru
> ven ze stroje.
>
>> Navic na co to prosimte potrebujes ?
>> Ja osobne mam nekolik jailu propojenych skrze lo1 na kterem mam
>> privatni rozsah a ven jdou pres jednu ip pomoci pf natu (oddelene
>> jaily pro ruzne sluzby serveru).
>
> Na routeru mi bezi nekolik dalsich sluzeb (napriklad dns), ktere mam
> povesene v samostatnych jailech. A jaily jsou na verejnych adresach,
> takze je nemusim nikde proNATovavat. Mam to tak proto, abych v pripade
> potreby mohl danou sluzbu snadno presunout na jiny fyzicky stroj, aniz
> bych musel menit IP adresu daneho serveru. Ma to ale jeden hacek a to
> je to, ze mi pak vsechny aplikace v jailu visi na te verejne adrese.
> Neprijemne je to hlavne v pripade sendmailu, ktery pak nebezi jen na
> localhostu, ale na verejne IP. Takze to musim ruzne obchazet. Kdyz
> jsem nasel informaci o tom, ze jail muze mit vice IP adres a bylo to
> popsano prave s ohledem na vytvoreni loopbacku v jailu, zajasal jsem a
> jal se to otestovat. Ovsem cim prudsi byl rozbeh, o to tvrdsi byl
> naraz :-)
> Zamer je, aby na verejne bezelo jen to, co tam bezet ma a ostatní
> sluzby, ktere tam bezet nemají (syslog, sendmail) budou povesene jen
> na localhost. Tohle se mi bez problemu povedlo nakonfigurovat. Jediny
> (bohuzel fatalni) problem je, ze mi ten jail nekomunikuje smerem ven
> do sveta.
>
> Uz ani nevim, ktera verze FBSD byla jako prvni, kde jsem jaily zacal
> pouzivat, ale bylo to nekdy v roce 2004. Jsem s tim maximalne
> spokojeny, jen ten neexistujici loopback mi tam chybi.
>
>
>
> Zbyněk Burget
> Mlýnská 397
> 798 26 Nezamyslice
>
> tel: 588 580 000, 739 930 931
> http://www.burgnet.cz
> IČ: 606 88 220; DIČ: CZ7210184674
>
--
S pozdravem Vilem Kebrt
email: vilem.kebrt na gmail.com
More information about the Users-l
mailing list