Re: Stejná IP adresa v jailu - Address already in use

[Marián Černý]

> On 10 Dec 2020, at 10:42, Dan Lukes wrote:
>> Neexistuje nějaká možnost povolit jailu, aby viděl i ostatní spojení jeho IP adresy, aby tento nešťastný výběr zdrojového portu nenastával?
> 
> Nevim o tom, ze by mira oddelenosti jailu byla az tak jemne konfigurovatelna.

U jailů je možné nastavit několik allow.* omezení. Vím, že to tam není, ale psal jsem to pro případ, že něco přehlížím.
Jinak kdyby ten výběr odchozího portu dělala nějaká rutina “níž v kernelu”, tak by mohla ten port vybrat volný. Protože pak to beztak selže někde “níž v kernelu”. Ale chápu, že když se to tak nemá používat, tak je to jedno.

> Vnucuje se ale otazka - proc tam ten jail mas ? Ale nechci zadnou obecnou odpoved "aby byly veci oddelene", protoze prave diskutujeme zruseni casti toho oddeleni.
> 
> Zajima me jakym konkretni rizika se  pouzitim jailu pokousis omezit. Mohlo by se uakzat, ze stejneho nebo podobneho vysledku lze dosahnout nejak jinak, bez pouziti jailu. Treba chrootem ...

Můj důvod je (bohužel právě) oddělení služeb a jednodušší správa.

Chroot by pro některé služby byla možnost, ale kompletní systém/jail mi přijde jednodušší na správu a navíc chroot je pro jednu službu, ale často mám v jailu víc (souvisejících) služeb.

Za jednu z výhod jailů považuji právě to oddělení. Když například aktualizuji balíčky a něco se pokazí, tak to odnese jenom ten jeden jail.

> 
>> Je tedy jediná správná cesta přejít na privátní IP adresy a port forwarding/NAT?
> 
> 
> Jestli jedinna to nevim, ale je to existujici funkcni cesta. Otazka je, v cem ti nevyhovuje natolik, ze venujes cas hledani nejake jine.

Jestli je správné použití jailů takové, že každý jail má mít svojí vyhrazenou IP adresu a jsem jediný, kdo to používá se sdílenou IP adresou, tak nemám problém to předělat na privátní IP adresy a NAT.

Já si právě pamatuju (možná špatně), že když jsem s jaily začínal, tak se nabízely dvě možnosti - sdílená IP adresa nebo oddělená. A mně sdílená IP adresa nevadila a přišlo mi to jednodušší v tom, že tam není navíc další (stavová) vrstva s NATem. Navíc s ipfw je potřeba běžet natd a s pf (kde je to jednodušší) moc nekamarádím.

Majo