Re: mehrere virtuelle systeme auf einem system (jails?)

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 9 Feb 2005 10:29:03 +0100 (CET)

G?sta Steen <G.Steen(at)usk18.de> wrote:
> auf einem Rechner sollen eigenlich 2 Dinge laufen. Ein Router und ein
> file-, printserver u.s.w.
>
> Der Rechner hat 3 nics.

Wie andere schon erwähnten: Der File-/Printserver gehört
eigentlich auf einen separaten Rechner. Da Du praktischer-
weise bereits drei NICs in der Router-Kiste hast, bietet
es sich geradezu an, dafür eine DMZ (am dritten NIC) einzu-
richten.

> Ist es möglich, dass 2 Systeme nebeneinander auf dem rechner laufen ohne
> sich gegenseitig manipulieren zu können? Das eine soll 2 nics benutzen
> (router), das andere den 3ten (server).
> dachte zuerst an jails aber bin mir nicht sicher ob das überhaupt so
> geht wie ich mir das vorstelle.

Bernd sagte ja schon, daß Routing im Kernel abläuft, und
ebenso der NFS-Service (obgleich man dafür ohne allzu gros-
sen Aufwand einen Userland-Daemon schreiben könnte; Bei-
spiele hierfür gibt's in der Ports-Collection, z.B. CFS).
Du kannst dies also nicht so ohne weiteres in einem Jail
abkapseln.

Ich mach mal ein bißchen Brainstorming; vielleicht bringt
Dich ja das eine oder andere schon weiter ...

 - Printserver (lpd) sollte in einem Jail laufen können
   (ist ein reiner Userland-Daemon), ebenso Samba.

 - Möglicherweise kann man es mit ein bißchen Basteln hin-
   kriegen, einen natd in einem Jail laufen zu lassen.
   Der könnte dann Pakete (ggf. über interne Adressen)
   verschieben, und Du hättest sozusagen das Routing über
   Umwege in ein Jail verpackt. (Das Routing macht dann
   zwar immer noch der Kernel, aber alle Pakete müssen
   durch das Jail durch.) Das ist jetzt aber nur eine
   spontan aus dem Hanadgelenk geschüttelte Idee; kann gut
   sein, daß das nicht geht (oder daß Dir das nicht weiter-
   hilft).

 - Es gibt einen Menschen, der ein Patch-Set für -stable
   pflegt, das es ermöglicht, den IP-Stack zu virtualisie-
   ren und einen vollständigen IP-Stack inkl. Routing-
   table pro Jail zu haben. Er hat in der Vergangenheit
   sporadisch in der -stable-Mailingliste sein Patch-Set
   vorgestellt und jeweils auf den aktuellen Stand ge-
   bracht. Angeblich soll es recht stabil sein, aber ich
   kenne es nicht aus eigener Erfahrung. Per Suchfunktion
   auf http://www.freebsd.org o. http://freebsd.rambler.ru
   solltest Du es finden können.

 - Eine andere Möglichkeit wäre vmware. Das Host-System
   dürfte in dem Fall überhaupt nicht routen, sondern würde
   den Zugriff auf die NICs lediglich in die jeweiligen
   vmware-Instanzen hineinreichen. Ich bin aber jetzt
   nicht sicher, ob man den Zugriff auf die NICs auf meh-
   rere Instanzen aufteilen kann, oder ob jede davon grund-
   sätzlich alle NICs sieht. Wenn letzteres der Fall ist,
   hilft's Dir natürlich auch nicht weiter.

 - Vielleicht benötigst Du ja nicht unbedingt richtiges
   Routing. Du könntest stattdessen auch die Protokolle,
   die intern benötigt werden, über einen oder mehrere
   (evtl. transparente) Proxy-Daemonen laufen lassen, die
   wiederum durchaus in Jails sein können. Dies wäre auch
   vom Sicherheitsaspekt her eine bessere Lösung, da keine
   Verbindungen direkt durchgereicht werden und Du die di-
   rekte Kontrolle darüber hast, was auf Anwendungsebene
   (nicht nur auf Paketebene) durchgehen darf. Darüber-
   hinaus kannst Du jedem Daemon (Protokoll) sein eigenes
   Jail geben, d.h. im Falle eines Problems ist nur einer
   davon unmittelbar betroffen, sei es nun ein Software-
   Crash oder gar eine Kompromittierung.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"IRIX is about as stable as a one-legged drunk with hypothermia
in a four-hundred mile per hour wind, balancing on a banana
peel on a greased cookie sheet -- when someone throws him an
elephant with bad breath and a worse temper."
        -- Ralf Hildebrandt
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 09 Feb 2005 - 10:30:01 CET

search this site