Jaily a sitovani (aliasy nebo NAT)
Miroslav Lachman
000.fbsd at quip.cz
Tue Jun 28 09:54:22 CEST 2016
Petr Fischer wrote on 06/28/2016 02:55:
> Dejme tomu, ze na "host" stroji je sitovka em0 a ma IP 192.168.1.1.
>
> Vytvorim pomoci ezjail novy jail a dam mu jail_*_ip="em0|192.168.1.100".
Vyjmenoval jsi spoustu moznosti, jak to resit, ale tu nejdulezitejsi jsi
vynechal.
Klidne muzes na hostitelskem stroji provozovat jakekoliv sluzby, ale
vsechny musis nakonfigurovat tak, aby poslouchali jen na IP hostitele a
ne na vsech dostupnych IP adresach.
Co ti kde posloucha, to zjistis jednoduse prikazem
netstat -an | grep LISTEN
Spust si to jeste pred tim, nez pustis prvni jail.
Kdyz je nekde ve vypisu *:22 nebo *:80, tak hned vis, ze tahle sluzba se
ti nabinduje na vsechny IP adresy. Sluzby, co chces bezet na hostiteli
lokalne, musi bezet na 127.0.0.1:xy a sluzby, co maji byt dostupne
zvenku na <host_ip>:xy
Pak se ti nebudou prekryvat sluzby na hostiteli se sluzbama v jailech.
Nektere sluzby se takhle daji nakonfigurovat jednoduse (Apache i SSH je
tento pripad), u nekterych sluzeb je to horsi. Ale obvykle to byvaji
sluzby, ktere zase neprovozujes v jailech, takze nevadi, ze na hostiteli
bezi na wildcard IP. (napriklad ntpd)
Pokud maji jaily byt pristupne na stejnem IP rozsahu, jako je IP adresa
hostitele, pak nema moc smysl je davat na lo1 a NATovat. To delam jen
tehdy, kdyz chci mit jaily lokalne a treba jen jednu sluzbu publikovat
ven skrz verejny port.
Mirek
More information about the Users-l
mailing list