Re: komme mit jails nicht ins www

From: Alvar Freude <alvar(at)a-blast.org>
Date: Sun, 19 Feb 2006 16:09:52 +0100

Hallo,

-- "J. Erik Heinz" <list(at)jerik.de> wrote:

> So nach einigen Anfangsschwierigkeiten, habe ich jetzt eine jail am
> laufen. Leider bleibt es mir verwehrt Software darin zu installieren.
> Mein Ziel war es mittels pkg_add einen Apache zu installieren.

ich habe die letzten Tage einiges mit Jails aufgesetzt und habe dazu
ezjail genommen. /usr/ports/sysutils/ezjail/ oder via
<http://erdgeist.org/arts/software/ezjail/>

Damit habe ich ein komplettes System im Jail; zusätzlich habe ich
/usr/ports readonly gemountet (nullfs) und einige Anpassungen in /etc
gemacht, z.B. die folgenden Dateien angelegt bzw. in /usr/jail/newjail/
(das Jail-Template, quasi) kopiert: make.conf resolv.conf rc.conf
localtime periodic.conf

> Ich denke mal es liegt daran, das ich keine Verbindung zum Internet
> aufbauen kann. Leider weiss ich nicht warum das so ist. So wie ich die
> Dokumentation verstanden habe, sollte das eigentlich funtkionieren,
> wenn das Hostsystem eine Verbindung zum internet hat. Was bei mir der
> Fall ist.

aber nur, wenn Du IP-Adressen hast, die das Host-System routen kann. So
wie es bei Dir aussieht hast Du in den Jails ein eigenes (nicht
routbares) Subnetz: dann brauchst Du NAT.

Ich habe in den Jails hauptsächlich interne IPs im 10.x.y.z-Netz und NAT
aktiv. Aus Sicherheitsgründen sperre ich mittels Firewall auf dem
Host-System aber alle Zugriffe aus den Jails die keine eigenen Zugriffe
benötigen, wenn das Installieren fertig ist. Auch die Ports müssen dann
nicht mehr gemountet sein etc, es lässt sich also ein kleines Script
schreiben, dass die Jails öffnet (zum Updaten von Software zum Beispiel)
und wieder dicht macht. Ein im Jail stehender Apache (oder Postgres etc)
lässt sich von außen via forward-rule erreichen, das klappt auch wenn
die Firewall für das Jail ansonsten dicht ist.

Ein kleines Problem habe ich noch: bei mir gammelt noch ein altes Jail im
System herum, dass ich nicht gekillt kriege, bei "jls" aber immer
auftaucht obwohl da drin nichts mehr läuft. Naja, beim Reboot ist es
verschwunden ... ;)

Ciao
  Alvar

-- 
** Alvar C.H. Freude, http://alvar.a-blast.org/
** http://www.wen-waehlen.de/
** http://odem.org/
** http://www.assoziations-blaster.de/
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 19 Feb 2006 - 16:11:20 CET

search this site