© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
on 26.05.2003 10:36 Uhr, Oliver Fromme at olli(at)secnetix.de wrote:
> Philon <philon(at)macnews.de> wrote:
>> Netzwerkmäßig kann ich vom Jail raus, ganz ok. Ich hab mir sysinstall
>> rüberkopiert damit ich aus dem Jail auch ein paar Pakages von online
>> installieren kann. Im Jail gibt es kein Netzwerk IF weshalb er nicht raus
>> ins Netz will, nur um die Pakages zu ziehen.
>
> Ja, was denn nun -- kommst Du aus dem Jail per Netz heraus
> oder nicht? Irgendwie erscheint mir Deine Beschreibung wi-
> dersprüchlich.
Naja, ich komme raus z.B. per telnet oder curl. Ping wird nicht erlaubt und
das kopierte sysinstall meint es findet keine Netzwerk Devices und so kann
ich keine Packages per FTP ziehen.
> Alternativ kannst Du auf der Host-Umgebung einen Proxy lau-
> fen lassen. Ist aber vermutlich mehr Aufwand als es wert
> ist, es sei denn, Du kannst so einen Proxy auch später im
> regulären Betrieb gebrauchen.
Proxy lohnt sich ja schlecht solange da nur Services laufen.
>> Dann frag ich mich welche IP-Adresse ein Jail besser bekommen soll. Ich hab
>> ihm erstmal eine Adresse in meinem LAN gegeben, so muss ich kein NAT/Gateway
>> machen. Ist eine nur für den Host erreichbare Adresse wie 127.0.0.x
>> sinnvoller? Es sollen ja Services drauf laufen die auch nach aussen hin
>> Kontakt haben. Da ist doch NAT eher ein Hinderniss.
>
> Wenn Services drauf laufen sollen, würde ich ihm schon eine
> »richtige« IP geben. Du kannst natürlich auch eine 127/8-IP
> (localnet) nehmen und die Pakete vom Host dorthin forwarden
> lassen, aber ich bin nicht sicher, ob das den Aufwand wert
> ist. Filtern kannst Du in beiden Fällen.
Wenn ich dem Jail eine IP gebe, kann ich dann trotzdem im Hostsystem
Services auch auf der IP laufen lassen oder wird die dann fürs Jail
"reserviert"?
> Je nachdem, was für einen SQL-Server Du verwendest und ob
> er dieses Feature hat, kannst Du ihn auch mehrere Sockets
> anlegen lassen (für jedes Jail eins). Das wäre schonmal
> besser, erfordert aber, daß der SQL-Server selbst in der
> Host-Umgebung läuft, nicht in einem Jail. Auch wieder sub-
> optimal.
Mal sehen ob der MySQL das kann, ansonsten kann ich ja auch mit Postgre
laufen, vielleicht kann der das ja.
> Auf die beste Lösung bist Du ja schon selbst gekommen:
>
>> Soll
>> ich über 127.0.0.x Adressen Verbindungen herstellen?
>
> Das wäre empfehlenswert.
Also laufen dort services für die ich eine echte externe Adresse nehmen
sollte und für interne Dinge eine localnet nehmen. Aber dem Jail kann ich
keine 2 Adressen zuweisen. Also gebe ich meinem Jail doch interne Adressen
und route die dann raus.
>> Ok, laufen jetzt alle Server in ihren Jails, wie komme ich dann in ein Jail
>> um dort einen Server z.B. neuzustarten? Jail komplett neustarten? Immer
>> einen SSH-Server laufen haben?
>
> Du kannst in jedem Jail einen telnetd laufen lassen. Der
> frißt kein Brot, und solange Du nur Connections von local-
> host zuläßt, sollte es kein Sicherheitsproblem geben, denn
> tcpdump geht in Jails nicht. Wenn Dir das noch nicht ge-
> nügt: unser telnet unterstützt durchaus auch Verschlüsse-
> lung.
An den Host muss ich sowieso per ssh, dann muss ich von dort aus via telnet
in die Jails.
>> Nichts als Fragen wiedermal...
>
> Ich hoffe, ich konnte zumindest in einigen Punkten weiter-
> helfen.
Du hast mir auf alle Fälle klar weitergeholfen. Danke!
Philon
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 26 May 2003 - 11:47:08 CEST