Re: Alternativen zum NFS-Loopback-Mount in 5.1?

On Sat, Aug 02, 2003 at 06:39:51PM +0200, Matthias Teege wrote:
> On Sat, Aug 02, 2003 at 04:03:37PM +0200, Oliver Fromme wrote:
> > Man _kann_ natürlich jedem Jail eine eigene IP-Adresse ge-
> > ben, aber das ist keineswegs notwendig.
>
> Vielen Dank fuer die ausfuehrlichen Erlaeuterungen. Ich muss aber
> nochmal eine "bloede" Frage stellen.
>
> Sofern ich das richtig verstanden habe, laeuft auf dem Hostsystem
> ein nfs Server, von dem, aus den Jails heraus, Verzeichnisse gemountet
> werden um Plattenplatz zu sparen und ggf. ein Update zu erleichtern.

Du mountest aus einem jail heraus überhaupt nichts, das passiert immer
aus der Wirtsumgebung für einen Verzeichnissbaum, der innerhalb eines
Jails reicht.

> Der Verzeichnisbaum in /jail/olli besteht also zur "Haelfte" aus einem
> via NFS gemounteten /usr (read only) und links aus /jail/(etc|dev|tmp)
> usw. Koennte man das so zusammenfassen?

Links aus einem jail heraus kannst du auch nicht machen, da das jail
ja nichts außerhalb ereichen kann.
Du kannst von außen heraus fürs Jail hardlinks machen, aber diese
müssen selbstverständlich auf der gleichen Partition bleiben.
 
> Achso, die offenen Ports des portmaper werden dann mit Hilfe eines
> lokalen Paketfilters geschlossen?

Kann man sicherlich machen, aber man sollte einem jail sowieso nicht
die IP der Wirtsmaschine zugestehen, von daher kann man das auch auf
dem Server sperren.
An raw Sockets kommt ein jailed Prozess ja auch nicht ran, um IPs zu
faken.
Der Client seitige Portmapper kann einfach per Wrapper behandelt
werden - sofert man überhaupt einen braucht (statd/lockd).
Ansonsten kann man einen Client auch ohne Portmapper betreiben.

-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message