Jaily a sitovani (aliasy nebo NAT)

[Petr Fischer]

Zdravim ve spolek, jsem zmaten ze sitovani v jailech.

Dejme tomu, ze na "host" stroji je sitovka em0 a ma IP 192.168.1.1.

Vytvorim pomoci ezjail novy jail a dam mu jail_*_ip="em0|192.168.1.100".
Pak ma sitovy rozhrani em0 prirazena 2 tato IPcka (z hosta ukazuje ifconfig 2 IPcka, z jailu ukazuje ifconfig jen to jail IP).
Pokud uvnitr jailu spustim web server (nebo jinou sitovou sluzbu) na portu 8080, vse je ok, request na 192.168.1.100:8080 jde do jailu, problem ovsem nastava, pokud v jailu web server (nebo sitova sluzba) spadne, potom jde request na 192.168.1.100:8080 ne do jailu, ale jakoby na 192.168.1.1:8080, cili request jde mimo jail na hosta/parenta (tedy na uplne jiny web server/sitovou sluzbu)...

Je vubec vhodne sitovat jaily takto? Nebo mam pro kazdy jail naklonovat zarizeni lo1 (pro dalsi jail lo2 atd) priradit jim IPcka (jiny subnet) a z hosta (em0) prositovat do jailu (lo1, lo2...) pomoci pf a NAT?
Nebo staci naklonovat lo1 pro vsechny jaily spolecne?
Nebo je to vyreseno tak, ze na host/parent stroji, ktery nese jaily se zadne sitove sluzby nenechavaji bezet (stejne ale vzdy na host stroji pobezi aspon sshd a v jailech taky, takze kdyz nekomu padne sshd v jailu, tak se pak zvenku bude snazit pripojit po ssh do sveho jailu a misto toho se bude pripojivat na hosta/parenta a bude zmaten)?

Ano, znalost siti je u me slabsi...

Dekuji za nakopnuti, pf