firewall - pristup z jailu s lokalni IP na lo1 na verejnou IP adresu hostitele

[Vilem Kebrt]

rdr on em0 inet proto tcp from any to $verejka port { seznam portu } ->
$ipjailu
pass in on em0 inet proto tcp from any to $verejka port {seznam portu}
pass inet from any to $ipjailu port {seznam portu}

Takto to funguje mě.
Vilém

Dne 15. 9. 2017 1:20 odp. napsal uživatel "Miroslav Lachman" <
000.fbsd at quip.cz>:

> Mam stroj s FreeBSD 10.3 a PF firewallem.
> Na tom stroji je naklonovany interface lo1 s IP z rozsahu 172.16.1.0/24
>
> V PF mam NAT smerem ven, takze z jailu se v poradku dostanu do internetu.
>
>   nat on $ext_if from $jail_addr_0 to !$jail_addr_0 -> $ext_addr_0
>
> Problem je, ze se z jailu nedostanu na sluzby, ktere bezi na adrese
> hostitele: $ext_addr_0
>
> Podle pftop to blokuje defaultni pravidlo "block all" (tedy cokoliv, co
> neni jmenovite povoleno"
>
>
> Pokud interface lo1 pridam do $unfiltered, kde se pak nastavuje set skip,
> tak vsechno funguje:
>
>   set skip on $unfiltered
>
> Chtel jsem ale jen pridat pravidlo "pass out", jenze to nefunguje, ani v
> hodne obecne forme
>
>   pass out on $jail_int_if inet from any to any
>
> Packety jsou porad blokovany tim defaultnim "block all".
>
> Trosku se ztracim v tom, jak to na pozadi funguje, protoze se tam micha
> NAT a to, ze packety z lo1 ve skutecnosti tcpdump vidi na lo0.
>
> Takze otazka v podstate primo na Dana :)
> Co je potreba povolit, abych se z jailu dostal jak ven (skrz NAT), tak na
> slozby bezici na tom stroji?
>
> Mirek
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>