jail s vice IP

Zbyněk Burget zburget at burgnet.cz
Wed Jul 15 09:57:15 CEST 2015

Previous message: jail s vice IP
Next message: jail s vice IP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Dne 15. 7. 2015 v 7:56 Vilem Kebrt napsal(a):
> Ahoj,
> obavam se ze localhost je softwareova zalezitost kernelu, tech vic asi 
> vazne neudelas, zvlaste v jailu kde je spousta veci zamerne zakazanych.

Konfigurace jailu tak, aby na nem bylo vice IP adres, by mela byt mozna. 
Podle informaci, ktere jsem nasel by pri komunikaci jailu na adresu 
127.0.0.1 mela byt pouzita prvni IP adresa, ktera je jailu pridelena. 
Coz podle mych zjisteni asi funguje. Co mne prekvapilo je, ze jail pri 
vice IP adresach prestane komunikovat do urciteho smeru ven ze stroje.

> Navic na co to prosimte potrebujes ?
> Ja osobne mam nekolik jailu propojenych skrze lo1 na kterem mam 
> privatni rozsah a ven jdou pres jednu ip pomoci pf natu (oddelene 
> jaily pro ruzne sluzby serveru).

Na routeru mi bezi nekolik dalsich sluzeb (napriklad dns), ktere mam 
povesene v samostatnych jailech. A jaily jsou na verejnych adresach, 
takze je nemusim nikde proNATovavat. Mam to tak proto, abych v pripade 
potreby mohl danou sluzbu snadno presunout na jiny fyzicky stroj, aniz 
bych musel menit IP adresu daneho serveru. Ma to ale jeden hacek a to je 
to, ze mi pak vsechny aplikace v jailu visi na te verejne adrese. 
Neprijemne je to hlavne v pripade sendmailu, ktery pak nebezi jen na 
localhostu, ale na verejne IP. Takze to musim ruzne obchazet. Kdyz jsem 
nasel informaci o tom, ze jail muze mit vice IP adres a bylo to popsano 
prave s ohledem na vytvoreni loopbacku v jailu, zajasal jsem a jal se to 
otestovat. Ovsem cim prudsi byl rozbeh, o to tvrdsi byl naraz :-)
Zamer je, aby na verejne bezelo jen to, co tam bezet ma a ostatní 
sluzby, ktere tam bezet nemají (syslog, sendmail) budou povesene jen na 
localhost. Tohle se mi bez problemu povedlo nakonfigurovat. Jediny 
(bohuzel fatalni) problem je, ze mi ten jail nekomunikuje smerem ven do 
sveta.

Uz ani nevim, ktera verze FBSD byla jako prvni, kde jsem jaily zacal 
pouzivat, ale bylo to nekdy v roce 2004. Jsem s tim maximalne spokojeny, 
jen ten neexistujici loopback mi tam chybi.



Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674

Previous message: jail s vice IP
Next message: jail s vice IP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list