Re: Router im Jail?

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Thu, 24 Jan 2008 14:40:55 +0100



On Thu, Jan 24, 2008 at 04:31:38AM +0100, Alexander Morlang wrote:


> -----BEGIN PGP SIGNED MESSAGE-----


> Hash: SHA1


> 


> 


> 


> Peter Ross schrieb:


> > On Thu, 24 Jan 2008, Bertram Scharpf wrote:


> > 


> >> Um wieder auf gewohntem Niveau herumkonfigurieren zu können,


> >> habe ich mir überlegt, den Router durch ein Jail in einem


> >> produktiven Rechner zu ersetzen.


> > 


> > Ich denke, es wird Dir nicht möglich sein, innerhalb eines Jails Routen zu 


> > setzen, die zur Netzwerkkonfiguration des Hosts gehören (alles andere 


> > würde ich für ein ziemlich großes Sicherheitsloch betrachten).


> > 


> > Indirekt lese ich aus diesem Teil der jail manpage (sysctl-Beschreibung):


> > 


> >      security.jail.socket_unixiproute_only


> >           The jail functionality binds an IPv4 address to each jail, and lim-


> >           its access to other network addresses in the IPv4 space that may be


> >           available in the host environment.  However, jail is not currently


> >           able to limit access to other network protocol stacks that have not


> >           had jail functionality added to them.  As such, by default, pro-


> >           cesses within jails may only access protocols in the following


> >           domains: PF_LOCAL, PF_INET, and PF_ROUTE, permitting them access to


> >           UNIX domain sockets, IPv4 addresses, and routing sockets.  To enable


> >           access to other domains, this MIB variable may be set to 0.


> 


> ich kann dir empfehlen, dir eine soekris box zu beschaffen


> http://kd85.com/, der OpenBSD support ist recht gut.


> 


> oder, wenn linux akzeptabel ist, ein gut unterstuetztes geraet aus


> http://wiki.openwrt.org/TableOfHardware zu beschaffen. Das gerät der


> wahl ist im moment ein Asus WL500g premium mit 266Mhz Broadcom mips CPU,


>   8MB flash, 32MB ram, USB2.0 und der wlankarte im minipci slot, so das


> sich diese durch eine 802.11a karte ersetzen laesst, wenn in zukunft der


> bedarf besteht.



Oder eine von meinen FreeBSD fähigen ARM basierten:


http://www.small-control.de/FSB-A920-1-APG.html


Geplant sind noch 2 verlängerte Platinen-Versionen.


Eine mit externem Speicherbus für 19" Eurokartenträger-Gehäuse und eine


mit 12 Ethernet-Ports.


Alle Versionen kann ich auf Wunsch auch mit 128MB SDRAM bestücken.



-- 
B.Walter                http://www.bwct.de      http://www.fizon.de
bernd(at)bwct.de           info(at)bwct.de            support(at)fizon.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 24 Jan 2008 - 14:41:18 CET













search this site