firewall - pristup z jailu s lokalni IP na lo1 na verejnou IP adresu hostitele

Vilem Kebrt vilem.kebrt at gmail.com
Sat Sep 16 08:46:41 CEST 2017


A na přístup k lokálním službám používám také lo1 , na master systému mám
nahozenou .1 z toho rozsahu a odkazuji se na ní. Pak je to buď pass in on
lo1 from $ipjailu, nebo něco obdobného. Vilém


Dne 16. 9. 2017 8:43 dop. napsal uživatel "Vilem Kebrt" <
vilem.kebrt at gmail.com>:

> rdr on em0 inet proto tcp from any to $verejka port { seznam portu } ->
> $ipjailu
> pass in on em0 inet proto tcp from any to $verejka port {seznam portu}
> pass inet from any to $ipjailu port {seznam portu}
>
> Takto to funguje mě.
> Vilém
>
> Dne 15. 9. 2017 1:20 odp. napsal uživatel "Miroslav Lachman" <
> 000.fbsd at quip.cz>:
>
>> Mam stroj s FreeBSD 10.3 a PF firewallem.
>> Na tom stroji je naklonovany interface lo1 s IP z rozsahu 172.16.1.0/24
>>
>> V PF mam NAT smerem ven, takze z jailu se v poradku dostanu do internetu.
>>
>>   nat on $ext_if from $jail_addr_0 to !$jail_addr_0 -> $ext_addr_0
>>
>> Problem je, ze se z jailu nedostanu na sluzby, ktere bezi na adrese
>> hostitele: $ext_addr_0
>>
>> Podle pftop to blokuje defaultni pravidlo "block all" (tedy cokoliv, co
>> neni jmenovite povoleno"
>>
>>
>> Pokud interface lo1 pridam do $unfiltered, kde se pak nastavuje set skip,
>> tak vsechno funguje:
>>
>>   set skip on $unfiltered
>>
>> Chtel jsem ale jen pridat pravidlo "pass out", jenze to nefunguje, ani v
>> hodne obecne forme
>>
>>   pass out on $jail_int_if inet from any to any
>>
>> Packety jsou porad blokovany tim defaultnim "block all".
>>
>> Trosku se ztracim v tom, jak to na pozadi funguje, protoze se tam micha
>> NAT a to, ze packety z lo1 ve skutecnosti tcpdump vidi na lo0.
>>
>> Takze otazka v podstate primo na Dana :)
>> Co je potreba povolit, abych se z jailu dostal jak ven (skrz NAT), tak na
>> slozby bezici na tom stroji?
>>
>> Mirek
>> --
>> FreeBSD mailing list (users-l at freebsd.cz)
>> http://www.freebsd.cz/listserv/listinfo/users-l
>>
>


More information about the Users-l mailing list