© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo Oliver,
-- Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> Die »echten« IPs sind auf dem Host konfiguriert und
> werden lokal (z.B. per IPFW-fwd) an die Ports des Jails
> durchgereicht. Mit anderen Worten:
>
> *** Host *** *** Jail ***
> ------------ ------------
> 10.20.30.40:80 <--> 127.0.0.2:8001
> 10.20.30.50:80 <--> 127.0.0.2:8002
> 10.20.30.60:80 <--> 127.0.0.2:8003
an sowas in der Art dachte ich auch schon, aber der nächste Gedanke war:
Wenn dann 127.0.0.2 antwortet, ist der dann nicht der Absender der Pakete
und es steht quasi die falsche IP drin?
Aber man ipfw sagt: "For packets forwarded locally, the local address of
the socket will be set to the original destination address of the packet."
Damit dürfte es also tatsächlich gehen.
> Außerdem ist es ein Sicherheitsgewinn, wenn das Jail keine
> echte Adresse besitzt: Falls man jemand durch ein Loch die
> Kontrolle über das Jail gewinnt, kann er mit der localnet-
> IP ziemlich wenig anfangen, da sie nicht aus dem Jail
> heraus geroutet wird.
ja; wobei ich mir auch angewöhnt habe, per IPFW für den User www und
nobody etc. alle Zugriffe nach draußen zu blockieren. Ohne Root-Exploit
kommt man da auch nicht weit (das übliche ist ja bei den Web-Lücken,
dass die was externes nachladen).
Dank && Ciao
Alvar
-- ** Alvar C.H. Freude, http://alvar.a-blast.org/ ** http://www.wen-waehlen.de/ ** http://odem.org/ ** http://www.assoziations-blaster.de/
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 21 Jan 2006 - 17:43:30 CET