Re: komme mit jails nicht ins www

From: J. Erik Heinz <list(at)jerik.de>
Date: Sun, 19 Feb 2006 19:15:26 +0100

Alvar Freude <alvar(at)a-blast.org> words
        on 19.02.2006 - 16:09 (+0100 Zulu-Time):

> Hallo,
>
> -- "J. Erik Heinz" <list(at)jerik.de> wrote:
>
> > So nach einigen Anfangsschwierigkeiten, habe ich jetzt eine jail am
> > laufen. Leider bleibt es mir verwehrt Software darin zu installieren.
> > Mein Ziel war es mittels pkg_add einen Apache zu installieren.
>
> ich habe die letzten Tage einiges mit Jails aufgesetzt und habe dazu
> ezjail genommen. /usr/ports/sysutils/ezjail/ oder via
> <http://erdgeist.org/arts/software/ezjail/>
>
> Damit habe ich ein komplettes System im Jail; zusätzlich habe ich
> /usr/ports readonly gemountet (nullfs) und einige Anpassungen in /etc
> gemacht, z.B. die folgenden Dateien angelegt bzw. in /usr/jail/newjail/
> (das Jail-Template, quasi) kopiert: make.conf resolv.conf rc.conf
> localtime periodic.conf
Habs mir gerade mal durchgelesen. Also wenn ich es richtig verstehe,
gehts darum das die daten die bei jedem jail gleich sind einmal für
alle jails zur verfügung gestellt werden. Sodass man diese daten nicht
redundant hat.

Das rentiert sich wenn man mehere jails laufen hat, 2++ würde ich mal
sagen. Oder gibt es daneben noch vorteile die ich übersehen haben?

> > Ich denke mal es liegt daran, das ich keine Verbindung zum Internet
> > aufbauen kann. Leider weiss ich nicht warum das so ist. So wie ich die
> > Dokumentation verstanden habe, sollte das eigentlich funtkionieren,
> > wenn das Hostsystem eine Verbindung zum internet hat. Was bei mir der
> > Fall ist.
>
> aber nur, wenn Du IP-Adressen hast, die das Host-System routen kann. So
> wie es bei Dir aussieht hast Du in den Jails ein eigenes (nicht
> routbares) Subnetz: dann brauchst Du NAT.
>
> Ich habe in den Jails hauptsächlich interne IPs im 10.x.y.z-Netz und NAT
> aktiv. Aus Sicherheitsgründen sperre ich mittels Firewall auf dem
> Host-System aber alle Zugriffe aus den Jails die keine eigenen Zugriffe
> benötigen, wenn das Installieren fertig ist. Auch die Ports müssen dann
> nicht mehr gemountet sein etc, es lässt sich also ein kleines Script
> schreiben, dass die Jails öffnet (zum Updaten von Software zum Beispiel)
> und wieder dicht macht. Ein im Jail stehender Apache (oder Postgres etc)
> lässt sich von außen via forward-rule erreichen, das klappt auch wenn
> die Firewall für das Jail ansonsten dicht ist.
Dann muss ich mich mal an NAT ranmachen.

> Ein kleines Problem habe ich noch: bei mir gammelt noch ein altes Jail im
> System herum, dass ich nicht gekillt kriege, bei "jls" aber immer
> auftaucht obwohl da drin nichts mehr läuft. Naja, beim Reboot ist es
> verschwunden ... ;)
/usr/sbin/jexec $ID_DER_ALTEN_JAIL /bin/sh /etc/rc.shutdown
killall -j $ID_DER_ALTEN_JAIL -TERM
killall -j $ID_DER_ALTEN_JAIL -KILL
jail_umount_fs

wenn ich /etc/rc.d/jail richtig gelesen habe

Gruss Erik

-- 
J. Erik Heinz
Keyboard-samuraing in process
:: All non-mailinglist mail to this emailadress will be deleted.
OpenBC: https://www.openbc.com/hp/JErik_Heinz
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 19 Feb 2006 - 19:17:49 CET

search this site