Re: Nochmal Jail

Philon <philon(at)macnews.de> wrote:
> Netzwerkmäßig kann ich vom Jail raus, ganz ok. Ich hab mir sysinstall
> rüberkopiert damit ich aus dem Jail auch ein paar Pakages von online
> installieren kann. Im Jail gibt es kein Netzwerk IF weshalb er nicht raus
> ins Netz will, nur um die Pakages zu ziehen.

Ja, was denn nun -- kommst Du aus dem Jail per Netz heraus
oder nicht? Irgendwie erscheint mir Deine Beschreibung wi-
dersprüchlich.

> Soll ich die Pakages manuell
> per ftp ziehen?

Wäre eine Möglichkeit. Du kannst auch dem Jail einfach
eine ganz normale IP geben (und wenn's nur vorübergehend
für die Installation ist). Dann sollten FTP und HTTP
ganz normal funktionieren, sofern das Dein Router bzw.
Paketfilter/Firewall zuläßt.

Alternativ kannst Du auf der Host-Umgebung einen Proxy lau-
fen lassen. Ist aber vermutlich mehr Aufwand als es wert
ist, es sei denn, Du kannst so einen Proxy auch später im
regulären Betrieb gebrauchen.

> Dann frag ich mich welche IP-Adresse ein Jail besser bekommen soll. Ich hab
> ihm erstmal eine Adresse in meinem LAN gegeben, so muss ich kein NAT/Gateway
> machen. Ist eine nur für den Host erreichbare Adresse wie 127.0.0.x
> sinnvoller? Es sollen ja Services drauf laufen die auch nach aussen hin
> Kontakt haben. Da ist doch NAT eher ein Hinderniss.

Wenn Services drauf laufen sollen, würde ich ihm schon eine
»richtige« IP geben. Du kannst natürlich auch eine 127/8-IP
(localnet) nehmen und die Pakete vom Host dorthin forwarden
lassen, aber ich bin nicht sicher, ob das den Aufwand wert
ist. Filtern kannst Du in beiden Fällen.

> Als nächstes kommt für mich dann die Frage, wie ich den SQL-Server für alle
> Jails verfügbar machen kann. Kann ich den Socket in die Jails linken?

Das geht nur, wenn es ein Hardlink ist, was wiederum vor-
aussetzt, daß es das gleiche physikalische Dateisystem ist.
Davon würde ich abraten, weil Du damit indirekt Verbindun-
gen der Jails untereinander und mit dem Host-System ermög-
lichst.

Je nachdem, was für einen SQL-Server Du verwendest und ob
er dieses Feature hat, kannst Du ihn auch mehrere Sockets
anlegen lassen (für jedes Jail eins). Das wäre schonmal
besser, erfordert aber, daß der SQL-Server selbst in der
Host-Umgebung läuft, nicht in einem Jail. Auch wieder sub-
optimal.

Auf die beste Lösung bist Du ja schon selbst gekommen:

> Soll
> ich über 127.0.0.x Adressen Verbindungen herstellen?

Das wäre empfehlenswert.

> Ok, laufen jetzt alle Server in ihren Jails, wie komme ich dann in ein Jail
> um dort einen Server z.B. neuzustarten? Jail komplett neustarten? Immer
> einen SSH-Server laufen haben?

Du kannst in jedem Jail einen telnetd laufen lassen. Der
frißt kein Brot, und solange Du nur Connections von local-
host zuläßt, sollte es kein Sicherheitsproblem geben, denn
tcpdump geht in Jails nicht. Wenn Dir das noch nicht ge-
nügt: unser telnet unterstützt durchaus auch Verschlüsse-
lung.

> Nichts als Fragen wiedermal...

Ich hoffe, ich konnte zumindest in einigen Punkten weiter-
helfen.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"They that would give up essential liberty for temporary safety
deserve neither liberty nor safety."   -- Benjamin Franklin
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message