On Tue, 24 Oct 2006, Oliver Fromme wrote:
> Peter Ross wrote:
> > Oliver Fromme wrote:
> >
> > > wenn der Netzwerkstack virtualisiert würde, so dass man
> > > pro Jail Default-Routen, mehrere IPs usw. festlegen könnte.
> > > Auch die Unterstützung von Jails durch Paketfilter ist der-
> > > zeit noch sehr mangelhaft.
> >
> > Ich habe in der Richtung noch nichts erforscht, aber ich koennte mir
> > vorstellen, mit Pakettaging und -forwarding etwas erreichen zu koennen..
>
> Mit einem gewissen Aufwand kann man Work-arounds schaffen,
> aber besonders sauber ist das nicht. Und je komplexer die
> ganze Sache wird (IPFW-FWD, NAT, ...), desto schwerer wird
> die Pflege, und desto leichter schleichen sich auch Fehler
> ein.
Prinzipiell ja..
Wobei ich mit einem selbstgebastelten Regelgenerator, der auf die Server-
und Subnetzstruktur bei meinem Arbeitgeber zugeschnitten ist, gute
Erfahrungen gemacht habe. In den Konfigfiles stehen dann nur noch ein paar
Variablen, die schnell geaendert werden koennen. Das ist schon viel
sicherer als handgeschriebene Regeln (wie ich sie vor ein paar Monaten
vorgefunden habe).
Einen solchen Generator wird man sich bei haeufiger Anwendung von Jails
sicher auch ausdenken koennen, und einmal durchdacht und getestet sollte
das auch hinreichend sicher sein.
Das nur als Ergaenzung, nicht als "Gegenargument";-)
Einen schoenen Sonntag noch
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 29 Oct 2006 - 11:02:05 CET