G?sta Steen <G.Steen(at)usk18.de> wrote:
> auf einem Rechner sollen eigenlich 2 Dinge laufen. Ein Router und ein
> file-, printserver u.s.w.
>
> Der Rechner hat 3 nics.
Wie andere schon erwähnten: Der File-/Printserver gehört
eigentlich auf einen separaten Rechner. Da Du praktischer-
weise bereits drei NICs in der Router-Kiste hast, bietet
es sich geradezu an, dafür eine DMZ (am dritten NIC) einzu-
richten.
> Ist es möglich, dass 2 Systeme nebeneinander auf dem rechner laufen ohne
> sich gegenseitig manipulieren zu können? Das eine soll 2 nics benutzen
> (router), das andere den 3ten (server).
> dachte zuerst an jails aber bin mir nicht sicher ob das überhaupt so
> geht wie ich mir das vorstelle.
Bernd sagte ja schon, daß Routing im Kernel abläuft, und
ebenso der NFS-Service (obgleich man dafür ohne allzu gros-
sen Aufwand einen Userland-Daemon schreiben könnte; Bei-
spiele hierfür gibt's in der Ports-Collection, z.B. CFS).
Du kannst dies also nicht so ohne weiteres in einem Jail
abkapseln.
Ich mach mal ein bißchen Brainstorming; vielleicht bringt
Dich ja das eine oder andere schon weiter ...
- Printserver (lpd) sollte in einem Jail laufen können
(ist ein reiner Userland-Daemon), ebenso Samba.
- Möglicherweise kann man es mit ein bißchen Basteln hin-
kriegen, einen natd in einem Jail laufen zu lassen.
Der könnte dann Pakete (ggf. über interne Adressen)
verschieben, und Du hättest sozusagen das Routing über
Umwege in ein Jail verpackt. (Das Routing macht dann
zwar immer noch der Kernel, aber alle Pakete müssen
durch das Jail durch.) Das ist jetzt aber nur eine
spontan aus dem Hanadgelenk geschüttelte Idee; kann gut
sein, daß das nicht geht (oder daß Dir das nicht weiter-
hilft).
- Es gibt einen Menschen, der ein Patch-Set für -stable
pflegt, das es ermöglicht, den IP-Stack zu virtualisie-
ren und einen vollständigen IP-Stack inkl. Routing-
table pro Jail zu haben. Er hat in der Vergangenheit
sporadisch in der -stable-Mailingliste sein Patch-Set
vorgestellt und jeweils auf den aktuellen Stand ge-
bracht. Angeblich soll es recht stabil sein, aber ich
kenne es nicht aus eigener Erfahrung. Per Suchfunktion
auf http://www.freebsd.org o. http://freebsd.rambler.ru
solltest Du es finden können.
- Eine andere Möglichkeit wäre vmware. Das Host-System
dürfte in dem Fall überhaupt nicht routen, sondern würde
den Zugriff auf die NICs lediglich in die jeweiligen
vmware-Instanzen hineinreichen. Ich bin aber jetzt
nicht sicher, ob man den Zugriff auf die NICs auf meh-
rere Instanzen aufteilen kann, oder ob jede davon grund-
sätzlich alle NICs sieht. Wenn letzteres der Fall ist,
hilft's Dir natürlich auch nicht weiter.
- Vielleicht benötigst Du ja nicht unbedingt richtiges
Routing. Du könntest stattdessen auch die Protokolle,
die intern benötigt werden, über einen oder mehrere
(evtl. transparente) Proxy-Daemonen laufen lassen, die
wiederum durchaus in Jails sein können. Dies wäre auch
vom Sicherheitsaspekt her eine bessere Lösung, da keine
Verbindungen direkt durchgereicht werden und Du die di-
rekte Kontrolle darüber hast, was auf Anwendungsebene
(nicht nur auf Paketebene) durchgehen darf. Darüber-
hinaus kannst Du jedem Daemon (Protokoll) sein eigenes
Jail geben, d.h. im Falle eines Problems ist nur einer
davon unmittelbar betroffen, sei es nun ein Software-
Crash oder gar eine Kompromittierung.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "IRIX is about as stable as a one-legged drunk with hypothermia in a four-hundred mile per hour wind, balancing on a banana peel on a greased cookie sheet -- when someone throws him an elephant with bad breath and a worse temper." -- Ralf Hildebrandt To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 09 Feb 2005 - 10:30:01 CET