Jaily a sitovani (aliasy nebo NAT)

Miroslav Lachman 000.fbsd at quip.cz
Tue Jun 28 09:54:22 CEST 2016


Petr Fischer wrote on 06/28/2016 02:55:

> Dejme tomu, ze na "host" stroji je sitovka em0 a ma IP 192.168.1.1.
>
> Vytvorim pomoci ezjail novy jail a dam mu jail_*_ip="em0|192.168.1.100".

Vyjmenoval jsi spoustu moznosti, jak to resit, ale tu nejdulezitejsi jsi 
vynechal.
Klidne muzes na hostitelskem stroji provozovat jakekoliv sluzby, ale 
vsechny musis nakonfigurovat tak, aby poslouchali jen na IP hostitele a 
ne na vsech dostupnych IP adresach.
Co ti kde posloucha, to zjistis jednoduse prikazem
netstat -an | grep LISTEN
Spust si to jeste pred tim, nez pustis prvni jail.

Kdyz je nekde ve vypisu *:22 nebo *:80, tak hned vis, ze tahle sluzba se 
ti nabinduje na vsechny IP adresy. Sluzby, co chces bezet na hostiteli 
lokalne, musi bezet na 127.0.0.1:xy a sluzby, co maji byt dostupne 
zvenku na <host_ip>:xy

Pak se ti nebudou prekryvat sluzby na hostiteli se sluzbama v jailech.

Nektere sluzby se takhle daji nakonfigurovat jednoduse (Apache i SSH je 
tento pripad), u nekterych sluzeb je to horsi. Ale obvykle to byvaji 
sluzby, ktere zase neprovozujes v jailech, takze nevadi, ze na hostiteli 
bezi na wildcard IP. (napriklad ntpd)

Pokud maji jaily byt pristupne na stejnem IP rozsahu, jako je IP adresa 
hostitele, pak nema moc smysl je davat na lo1 a NATovat. To delam jen 
tehdy, kdyz chci mit jaily lokalne a treba jen jednu sluzbu publikovat 
ven skrz verejny port.

Mirek


More information about the Users-l mailing list