© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Oliver Fromme schrieb:
> Michael Gusek wrote:
> > Ich habe hier ein 192.168.0/24-Netz,
> > bestehend aus dem FreeBSD-Router (mit ipfw), einigen Clients (Laptop,
> > PC, Netzwerkdrucker) und eine Handvoll jails auf dem Router. Der Router
> > hat zwei Netzwerkkarten, eine ins Internet (192.168.178.2) und eine ins
> > lokale LAN (192.168.0.1). Ziel der Operation soll sein, dass alle
> > Clients Zugriff auf das Internet haben, weiterhin sollen einige Ports
> > aus dem Internet erreichbar sein, diese werden dann auf dem Router oder
> > aber in einem der jails auf dem Router verwendet. Im Moment sehen meine
> > Regeln so aus:
> >
> > 1 divert 8668 ip from any to any via em1
> > 2 allow ip from any to any via lo0
> > 3 deny ip from any to 127.0.0.0/8
> > 4 deny ip from 127.0.0.0/8 to any
> > 5 check-state
> > 6 allow tcp from any to me dst-port 22 keep-state
> > 7 allow ip from me to any keep-state
> > 8 fwd 192.168.0.12,22 tcp from any to 192.168.178.2 dst-port 2222 keep-state
> > 9 allow ip from 192.168.0.0/24 to any keep-state
> > 10 deny ip from any to any
> >
> > Mit diesen Regeln komme ich mit dem Laptop ins Internet, dafür sorgt ja
> > Regel 9 und 1, weiterhin funktioniert der ssh-forward auf das jail mit
> > der IP 192.168.0.12. Was nicht geht, ist das ich Verbindungen aus dem
> > Jail ins Internet aufbauen kann, obwohl es im gleichem IP-Bereich wie
> > der Laptop liegt und somit Regel 9 anschlagen müsste.
>
> Wenn ich das richtig sehe, bekommt das Jail kein NAT (em1
> ist das interne Interface, nehme ich mal an). Mit seiner
> 192.168.*-Adresse kann es natürlich nicht raus.
>
> Gruß
> Olli
>
>
Nein, em1 ist das externe Interface. em0 ist das interne, hier sind auch
die Ip-Adressen der jails konfiguriert, z.b. 192.168.0.12.
Micha
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 05 Jan 2009 - 19:58:16 CET