Re: ipfw mit vnet

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Wed, 9 Jul 2014 15:48:06 +1000 (EST)

Hallo,

vielleicht fällt ja doch noch jemandem was auf? Ich habe das eben an die
freebsd-jail-Liste geschickt, ich vermute, irgendwas ist mit ipfw/natd und
vnet-Jails faul.

Ich habe versucht, die Regeln ein bißchen zu vereinfachen (z.B. allen
recv/xmit-Interface-Kram rauszulassen).

Hier nochmal das Setup:

Internet->age0(Host-Interface mit natd und externer IP)
->bridge10(10.0.10.254)->epair1a
->epair1b(10.0.10.1 im bind vnet-Jail)

Im Jail wird alles durchgelassen
(ipfw allow ip4 from any to any)

Hier die relevanten Regeln, um UDP port 53 zum DNS-Server "durchzulassen"
(mit natd.conf "redirect_port udp 10.0.10.1:53 external.ip:53")

00100 divert 8668 ip4 from any to any via age0
03100 allow udp from any to 10.0.10.1 dst-port 53 keep-state
03200 allow udp from any to me dst-port 53 keep-state

Ich muß

03300 allow udp from me 53 to any

hinzufügen, bis ich von draußen zugreifen kann.

Heißt das, ipfw/natd arbeiten in diesem Setup nicht richtig mit
"keep-state"?

Es grüßt
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 09 Jul 2014 - 07:48:29 CEST

search this site