Re: Poudriere "IPv4 adresses clash"

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Mon, 16 Sep 2013 16:00:05 +0200 (CEST)



Gerhard Brauer wrote:


 > Ursache war, daß ich ein lo-Device schon an ein anderes Jail


 > explizit durchgereicht hatte. poudriere nutzt das lo-Dev als lokales


 > Netzdevice für sein(e) Jails, dann darf es aber scheinbar in den


 > anderen Jails nicht explizit zugeweisen sein. Geändet habe ich in


 > meiner /e/rc.conf:


 > - jail_foobar_ip="192.168.22.6,lo0|127.0.0.1" 


 > + jail_foobar_ip="192.168.22.6"



Die Ursache ist, dass ein Sharing von IP-Adressen zwischen


Jails nur dann erlaubt ist, wenn es die _einzige_ Adresse


der betreffenden Jails ist.  Sobald ein Jail dagegen mehrere


IP-Adressen hat, dann darf kein anderes Jail diese Adressen


haben.



In diesem Fall hatte das Jail mehrere Adressen (zwei Stück),


daher greift die Regel, dass diese Adressen dann von keinem


anderen Jail verwendet werden dürfen.  Das war aber offenbar


bei 127.0.0.1 der Fall.  Daher der Adresskonflikt.



Nachdem Du 127.0.0.1 entfernt hattest, hatte das Jail nur


noch eine Adresse.  Dann greift die Regel nicht, d.h. es ist


egal, ob diese Adresse noch von anderen Jails verwendet wird


oder nicht.



Man sollte auch wissen, dass 127.0.0.1 eine Sonderrolle in


Jails spielt:  Sie wird immer automatisch auf die Adresse


(bzw. primäre Adresse) des Jails gemappt.  Wenn man das


nicht weiß, kann man sich böse in den Fuß schießen:  Wenn


man einen Daemon in einem Jail auf 127.0.0.1 lauschen lässt,


lauscht er in Wirklichkeit auf der IP-Adresse des Jails und


ist ggf. von außen erreichbar!



Wenn man in einem Jail eine lo0-Adresse verwenden möchte,


ist es daher ratsam, eine andere anzulegen (127.0.0.2 usw.),


für die diese Sonderbehandlung nicht gilt.  Außerdem kann


man natürlich jedem Jail auch seine eigene lo0-Adresse geben


und entgeht so der Adresskollision bei Verwendung mehrerer


Adressen.



Da ich poudriere nicht verwende, kann ich dazu allerdings


nicht sagen, was dort die beste Vorgehensweise in diesem


speziellen Fall ist.  Wenn es grundsätzlich 127.0.0.1 in


Jails verwenden möchte, hätte ich dabei kein so gutes


Gefühl.



Gruß


   Olli



-- 
Oliver Fromme,  secnetix GmbH & Co. KG,  Marktplatz 29, 85567 Grafing
Handelsregister:  Amtsgericht Muenchen, HRA 74606, Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsreg.: Amtsgericht München,
HRB 125758, Geschäftsführer:  Maik Bachmann,  Olaf Erb,  Ralf Gebhart
FreeBSD-Dienstleistungen/-Produkte + mehr: http://www.secnetix.de/bsd
"Being really good at C++ is like being really good
at using rocks to sharpen sticks."
        -- Thant Tessman
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 16 Sep 2013 - 16:00:17 CEST













search this site