Re: jails und loopback-interface...

Tach auch,

On Tue Aug 12, 2003 at 11:35AM +0200, Oliver Fromme wrote:
> Gordon Bergling <gordon(at)bsd-network.org> wrote:
> > On Tue Aug 12, 2003 at 06:41AM +0200, Stefan Fischer wrote:
> > > Ok, ein jail kann max. eine IP haben, nun wollte ich einige Dienste
> > > einerhalb eines jails an das loopback-interface binden. Türen nach
> > > draussen, auch wenn es nur für die Hostumgebung gilt, wollte ich so
> > > erst gar nicht enstehen lassen.
> >
> > Wenn das Jail an einen Alias im 127.0.0.0/8 Bereich gebunden ist kann
> > niemand, auch nicht im LAN, auf den jeweiligen Dienst zu greifen.
>
> Ja, das ist ja gerade der Trick an der Sache. Man hat da-
> mit eine zusätzliche Trennung, und der Host hat die volle
> Kontrolle über alle Pakete, die das Jail erzeugt und erhält.

Gut das stimmt natürlich.

> > Der
> > Dienst ist dann halt nur auf der jeweiligen Machine verfügbar.
>
> Nö. Man muß auf dem Host dann natürlich ein entsprechendes
> Forwarding laufen lassen. Das kann man per Filter machen
> (IPF oder IPFW/2) und/oder per Proxy.

Stimmt auch, aber für mich im privaten Bereich, wo eine Machine alles
macht, wohl etwas übertrieben. Ich binde die Jails meist an LAN-Adressen,
da ich fürs interne LAN (2 Rechner) nicht extra filter/frwd Rules
erzeugen möchte. Ich hab da so einen Performance-Tick. ;)

> > Ich habe meine Jails immer an eine Alias-Adresse von LAN gebunden. Hier
> > im Beispiel 192.168.100.66 ist die "echte" Adresse und zwei Aliase auf .100.20
> > und .100.21!
>
> Kann man machen. Es kommt halt immer auf das jeweilige
> Sicherheitskonzept und die Policies an. In diesem Fall
> wäre es ausschlaggebend, welchen Sicherheits- und Risiko-
> Level man dem internen LAN einräumt.
>
> Wenn man auf Nummer sicher gehen will, ist eine Loopback-
> IP doch eine Spur sicherer als eine LAN-IP. Und Dienste
> gehören genaugenommen eh nicht ins interne LAN, sondern
> in die DMZ. Aber da stellt sich natürlich auch die Frage,
> welchen Aufwand man bereit ist zu treiben, insbesondere
> wenn es nur im privaten Bereich ist, der ja von vielen als
> nicht so wichtig angesehen wird (was ich allerdings nicht
> ganz teile).

Im Geschäftsleben geb ich Dir volle Zustimmung aber wenn man es im
privaten Bereich machen wollte müsste ja mindestens ein Firewall Kiste
aufgesetzt werden. Derzeit läuft meine SS5 immer noch nicht richtig und
noch ne Intel wollte ich erstmal nicht installieren. Ist natürlich
gleich worauf hier was laufen sollte, aber im privaten bastel ich noch
gerne 'ne ganze Menge rum.

Gruss,

Gordon

-- 
There is no place like 127.0.0.1/8!
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message