Re: Router im Jail?

From: Alexander Morlang <alx(at)dd19.de>
Date: Thu, 24 Jan 2008 04:31:38 +0100



-----BEGIN PGP SIGNED MESSAGE-----


Hash: SHA1



Peter Ross schrieb:


> On Thu, 24 Jan 2008, Bertram Scharpf wrote:


> 


>> Um wieder auf gewohntem Niveau herumkonfigurieren zu können,


>> habe ich mir überlegt, den Router durch ein Jail in einem


>> produktiven Rechner zu ersetzen.


> 


> Ich denke, es wird Dir nicht möglich sein, innerhalb eines Jails Routen zu 


> setzen, die zur Netzwerkkonfiguration des Hosts gehören (alles andere 


> würde ich für ein ziemlich großes Sicherheitsloch betrachten).


> 


> Indirekt lese ich aus diesem Teil der jail manpage (sysctl-Beschreibung):


> 


>      security.jail.socket_unixiproute_only


>           The jail functionality binds an IPv4 address to each jail, and lim-


>           its access to other network addresses in the IPv4 space that may be


>           available in the host environment.  However, jail is not currently


>           able to limit access to other network protocol stacks that have not


>           had jail functionality added to them.  As such, by default, pro-


>           cesses within jails may only access protocols in the following


>           domains: PF_LOCAL, PF_INET, and PF_ROUTE, permitting them access to


>           UNIX domain sockets, IPv4 addresses, and routing sockets.  To enable


>           access to other domains, this MIB variable may be set to 0.



ich kann dir empfehlen, dir eine soekris box zu beschaffen


http://kd85.com/, der OpenBSD support ist recht gut.



oder, wenn linux akzeptabel ist, ein gut unterstuetztes geraet aus


http://wiki.openwrt.org/TableOfHardware zu beschaffen. Das gerät der


wahl ist im moment ein Asus WL500g premium mit 266Mhz Broadcom mips CPU,


  8MB flash, 32MB ram, USB2.0 und der wlankarte im minipci slot, so das


sich diese durch eine 802.11a karte ersetzen laesst, wenn in zukunft der


bedarf besteht.



Achja, der eingebaute 5 port switch ist vlan faehig.



Oder, du laesst auf der BSD kiste ein qemu laufen, dann kannst du dir


die hardware sparen, allerdings fressen die stromkosten den spareffekt


recht schnell auf.



> 


> Es grüßt


> Peter



Gruss, Alex



P.S.: ich bitte, die werbung für Guano auf der liste zu entschuldigen



-----BEGIN PGP SIGNATURE-----


Version: GnuPG v1.4.7 (Darwin)


Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org



iD8DBQFHmAaahx2RbV7T5aERAmvIAKCGJepNqHGthbaTfANwuFlv44pJYQCfY4pU


a64qtb38xlpcOoz5O8s8Ido=


=VFv5


-----END PGP SIGNATURE-----



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 24 Jan 2008 - 04:31:54 CET













search this site