Re: IP-Adresse bei ausgehender TCP-Verbindung aus einem Jail

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 2 Dec 2009 18:32:03 +0100 (CET)

Alvar Freude <alvar(at)a-blast.org> wrote:
> Habe unter FreeBSD 8.0 ein Jail mit eigener öffentlicher IP-Adresse
> (darin laufen Exim, SpamAssassin und Cyrus-Imapd).
>
> Wenn ich aus dem Jail eine Verbindung nach draußen mache, dann wird aber
> immer die IP-Adresse vom Host-System genommen, nicht die vom Jail. Auch
> wenn ich die ausgehende IP-Adresse in der Exim-Konfiguration entsprechend
> setze.
>
> Auch beim telnet -s ... passiert das gleiche.
>
> Unter 7.1 habe ich das gleiche Verhalten.

Sehr seltsam. Ich kann das überhaupt nicht reproduzieren.
Bei mir haben Pakete, die aus einem Jail kommen, immer die
IP-Adresse des Jails als Source-IP (sofern sie nicht per
Firewall oder NAT umgeschrieben wird).

Wenn es anders wäre, würde ich das als Bug ansehen, und Du
wärst sicherlich nicht der Erste, dem er auffiele.

Mit anderen Worten: Vermutlich machst Du irgendwas falsch.
Leider habe ich keine Idee, was das sein könnte.

Verwendest Du NAT, oder IPFW mit fwd-Regeln, oder PF/IPF
mit rdr-Regeln, oder etwas Vergleichbares? Wenn ja, würde
ich dort mal prüfen, ob da vielleicht die betreffende
Adresse umgeschrieben werden könnte. Sonst fällt mir
leider nichts ein.

Ein ganz einfacher Test:

# ifconfig lo0 127.0.0.42/32 alias
# jail / localhost 127.0.0.42 /bin/sh -E
# telnet 127.0.0.1

Wenn man jetzt mit tcpdump guckt, sollte das telnet-Kommando
als Source-IP die 127.0.0.42 haben, egal ob man -s verwendet
oder nicht. Das gleiche Kommando außerhalb des Jails sollte
per default 127.0.0.1 verwenden bzw. sich nach der Option -s
richten.

Bei mir funktioniert das genau so auf diversen Rechern mit
verschiedensten FreeBSD-Versionen. Bei Dir nicht?

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
In my experience the term "transparent proxy" is an oxymoron (like jumbo
shrimp).  "Transparent" proxies seem to vary from the distortions of a
funhouse mirror to barely translucent.  I really, really dislike them
when trying to figure out the corrective lenses needed with each of them.
        -- R. Kevin Oberman, Network Engineer
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 02 Dec 2009 - 18:32:39 CET

search this site