Alvar Freude <alvar(at)a-blast.org> wrote:
> Gibt es eine saubere/sinnvolle Lösung, in einem Jail einen
> Webserver/Apache auf mehreren IPs lauschen zu lassen
> (mehrere Virtuelle Hosts auf unterschiedlichen IPs)?
Ja, gibt es.
Du kannst den Apache im Jail auf mehreren Ports einer
localnet-IP lauschen lassen, z.B. 127.0.0.2:8001,
127.0.0.2:8002, 127.0.0.2:8003 usw.
Die »echten« IPs sind auf dem Host konfiguriert und
werden lokal (z.B. per IPFW-fwd) an die Ports des Jails
durchgereicht. Mit anderen Worten:
*** Host *** *** Jail ***
------------ ------------
10.20.30.40:80 <--> 127.0.0.2:8001
10.20.30.50:80 <--> 127.0.0.2:8002
10.20.30.60:80 <--> 127.0.0.2:8003
Auf diese Weise kannst Du mehrere virtuelle Hosts mit dem
Apache bedienen, brauchst aber nur eine IP-Adresse im Jail.
Außerdem ist es ein Sicherheitsgewinn, wenn das Jail keine
echte Adresse besitzt: Falls man jemand durch ein Loch die
Kontrolle über das Jail gewinnt, kann er mit der localnet-
IP ziemlich wenig anfangen, da sie nicht aus dem Jail
heraus geroutet wird.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "I have stopped reading Stephen King novels. Now I just read C code instead." -- Richard A. O'Keefe To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sat 21 Jan 2006 - 16:15:35 CET