Re: jails und loopback-interface...

From: Gordon Bergling <gordon(at)bsd-network.org>
Date: Tue, 12 Aug 2003 10:47:35 +0200

Guten Morgen Stefan,

On Tue Aug 12, 2003 at 06:41AM +0200, Stefan Fischer wrote:
> da bis jetzt mein kleiner Router (P100/64MB) auch gleichzeitig mein
> File/Web/Mail-Server war und ist, wollte ich die _relative_
> Sicherheit ein wenig durch die Nutzung von jails erhöhen.
>
> Ok, ein jail kann max. eine IP haben, nun wollte ich einige Dienste
> einerhalb eines jails an das loopback-interface binden. Türen nach
> draussen, auch wenn es nur für die Hostumgebung gilt, wollte ich so
> erst gar nicht enstehen lassen.

Wenn das Jail an einen Alias im 127.0.0.0/8 Bereich gebunden ist kann
niemand, auch nicht im LAN, auf den jeweiligen Dienst zu greifen. Der
Dienst ist dann halt nur auf der jeweiligen Machine verfügbar.

> Leider scheint es diese Möglichkeit in einem jail nicht zu geben,
> wie geht ihr in diesem Falle vor? Einsatz eines Paketfilters auf dem
> Hostsystem? Bezüglich der Dokumentation: Weder die manpage noch das
> Handbuch geben sich in Sachen jail sehr auskunftsfreudig. Wo kann ich
> weitere Infos rund um jails finden?

Ich habe meine Jails immer an eine Alias-Adresse von LAN gebunden. Hier
im Beispiel 192.168.100.66 ist die "echte" Adresse und zwei Aliase auf .100.20
und .100.21! Auf .100.20 hab ich jetzt nur ein sshd und einen ftpd
laufen. Die Ports habe ich von außen per ipnat verfügbar gemacht. Der
Host ist Server/Packetfilter in einem. Einen Packetfilter hab ich eh am
laufen, vertraue aber Packeten vom LAN vollständig.

Hoffe das hilft Dir ein bisschen.

Gruss,

Gordon

-- 
There is no place like 127.0.0.1/8!
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 12 Aug 2003 - 10:48:12 CEST

search this site