Re: Router im Jail?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 28 Jan 2008 12:27:16 +0100 (CET)



Bertram Scharpf wrote:


 > Nicola Tiling wrote:


 > > > Entweder ist die Aufgabe so banal, daß niemand sich die Mühe 


 > > > macht, eine Anleitung zu schreiben, oder ich bin auf einem 


 > > > ganz falschen Trip und was ich vorhabe wird in der geplanten 


 > > > Form nicht funktionieren.


 > > 


 > > Das kann nicht funktionieren - einem Jail kann nur genau *eine* IP


 > > zugewiesen werden.



Kleine Ergänzung:  Es gibt ein Projekt (ich glaube es ist


von Marco Zec), das den Netzwerk-Stack für Jails komplett


virtualisiert.  Das bedeutet, dass jedes Jail seinen eige-


nen Routing-Table, virtuelle Interfaces usw. haben kann,


und natürlich auch beliebig viele IP-Adressen.  Der Code


ist aber leider bisher nur im Perforce-Repository, und es


ist noch nicht abzusehen, wann er in einer FreeBSD-Release


landen wird.



D.h. wenn man momenten Routing-Funktionalität auf einem


Rechner »kapseln« will (warum auch immer), geht das nur per


Emulations- oder Virtualisierungstechnik (qemu, vmware,


was auch immer).



Andererseits:  Aus welchem Grund will man sowas überhaupt


machen?  Einer der Hauptgründe für Jails ist, den Schaden


zu begrenzen, wenn ein Userland-Dienst kompromittiert wird


(etwa durch einen Root-Exploit).  Routing findet aber gar


nicht im Userland statt, sondern im Kernel.



Etwas anderes ist es natürlich, wenn Du Routing-Prozesse


laufen hast (routed(8) o.ä.), aber wenn Du Gründe hast,


dass Du das machen musst, dann hast Du mit Sicherheit auch


die Möglichkeit, für den Router einen dedizierten Rechner


zu verwenden (und somit sozusagen ein Hardware-Jail).



Gruß


Olli



-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"I learned Java 3 years before Python.  It was my language of
choice.  It took me two weekends with Python before I was more
productive with it than with Java." -- Anthony Roberts
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 28 Jan 2008 - 12:27:22 CET













search this site