Re: port 25 besetzt, aber durch was?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 5 Jan 2011 23:51:15 +0100 (CET)



Thomas Best wrote:


 > Die IP des Jails ist eine öffentliche, aus dem Internet erreichbare,


 > und dieses postfix soll eben nicht aus dem Internet erreichbar sein.



Dann stellt sich die Frage:  Warum gibst Du dem Jail eine


öffentliche IP-Adresse?



 > Daraus ergibt sich noch eine Frage, wie kann ich dieses postfix von


 > anderen Jails (mit priv. IP) erreichbar machen?  (ohne über PF


 > und die öffentliche IP zu gehen). Pro jail geht wohl nur eine IP, oder?



Erstmal eine Warnung:  localhost (127.0.0.1) hat in Jails


eine Sonderrolle und wird immer auf die IP-Adresse des


Jails umgebogen!  Das hat historisch-technische Gründe,


weil halt früher Jails nur eine IP-Adresse haben konnten,


aber localhost für diverse Funktionen erforderlich ist.



Wenn Du also in einem Jail mit einer öffentlichen IP etwas


auf localhost laufen lässt, dann wird das auf die Jail-IP


umgebogen und ist daher von außen erreichbar!  Daher sollte


man solche Konstruktionen grundsätzlich vermeiden.



Es gibt verschiedene Möglichkeiten, wie man es besser


machen kann.  In Deinem konkreten Fall würde ich das Jail


_nicht_ auf eine öffentliche IP legen, sondern auf eine


private (RFC 1918) oder -- noch besser -- auf eine local-


net-IP, d.h. eine Alias-IP von lo0 (z.B. 127.0.0.2).


Dann ist es erstmal prinzipiell nicht von außerhalb er-


reichbar, sondern nur von anderen Jails, die auf demselben


Host laufen (und vom Host selbst natürlich auch).  Wenn


Du trotzdem  bestimmte Verbindungen von außerhalb in dieses


Jail zulassen möchtest, kannst Du das z.B. mit geeigneten


IPFW-fwd-Regeln machen.  So mache ich das immer, aber es


gibt auch andere Möglichkeiten.



Um Deine Frage zu beantworten:  Seit FreeBSD 7 kann man


einem Jail auch mehrere IP-Adressen zuweisen.  Aber das


hat mit dem von Dir geschilderten Problem nichts zu tun.



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"To this day, many C programmers believe that 'strong typing'
just means pounding extra hard on the keyboard."
        -- Peter van der Linden
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 05 Jan 2011 - 23:51:36 CET













search this site