Christian Damm <christian.damm(at)diewebmaster.at> wrote:
> ist es üblich/möglich ipfw/ipfilter/pf (einen der "üblichen"
> packetfilter) unter FreeBSD 6.0 (RELENG) in einem jail einzusetzen oder
> konfiguriert man den packetfilter nur am "mutterhost" - nach ein wenig
> google`n denke ich dass ein packetfiltering auf jail ebene nicht möglich
> ist?!
Die üblichen Paketfilter (IPFW, IPF, PF) laufen im Kernel
und haben daher nichts mit Jails zu tun, die ja lediglich
einen Isolationsmechanismus fürs Userland darstellen.
Da Jails eigene IP-Adressen haben können, kann der Paket-
filter natürlich je nach Jail speziell konfiguriert werden.
Aber der Filter läuft dennoch im Kernel.
Wenn man will, könnte allerdings einen Userland-Paketfilter
programmieren. Dafür gibt es zahlreiche Ansatzpunkte, etwa
per Divert-Sockert, BPF oder netgraph. Allerdings dürfte
der Nutzen die Nachteile nicht aufwiegen, denke ich.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "One of the main causes of the fall of the Roman Empire was that, lacking zero, they had no way to indicate successful termination of their C programs." -- Robert Firth To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 14 Nov 2005 - 14:48:54 CET