firewall - pristup z jailu s lokalni IP na lo1 na verejnou IP adresu hostitele

Miroslav Lachman 000.fbsd at quip.cz
Fri Sep 15 13:19:35 CEST 2017

Previous message (by thread): Mac telnet
Next message (by thread): firewall - pristup z jailu s lokalni IP na lo1 na verejnou IP adresu hostitele
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Mam stroj s FreeBSD 10.3 a PF firewallem.
Na tom stroji je naklonovany interface lo1 s IP z rozsahu 172.16.1.0/24

V PF mam NAT smerem ven, takze z jailu se v poradku dostanu do internetu.

   nat on $ext_if from $jail_addr_0 to !$jail_addr_0 -> $ext_addr_0

Problem je, ze se z jailu nedostanu na sluzby, ktere bezi na adrese 
hostitele: $ext_addr_0

Podle pftop to blokuje defaultni pravidlo "block all" (tedy cokoliv, co 
neni jmenovite povoleno"


Pokud interface lo1 pridam do $unfiltered, kde se pak nastavuje set 
skip, tak vsechno funguje:

   set skip on $unfiltered

Chtel jsem ale jen pridat pravidlo "pass out", jenze to nefunguje, ani v 
hodne obecne forme

   pass out on $jail_int_if inet from any to any

Packety jsou porad blokovany tim defaultnim "block all".

Trosku se ztracim v tom, jak to na pozadi funguje, protoze se tam micha 
NAT a to, ze packety z lo1 ve skutecnosti tcpdump vidi na lo0.

Takze otazka v podstate primo na Dana :)
Co je potreba povolit, abych se z jailu dostal jak ven (skrz NAT), tak 
na slozby bezici na tom stroji?

Mirek

Previous message (by thread): Mac telnet
Next message (by thread): firewall - pristup z jailu s lokalni IP na lo1 na verejnou IP adresu hostitele
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list