© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
P.S. Ich habe auch die "check-state" etc. Regeln am Anfang:
01000 check-state
01100 allow tcp from any to any established
01200 allow ip from any to any frag
On Wed, 9 Jul 2014, Peter Ross wrote:
> Hallo,
>
> vielleicht fällt ja doch noch jemandem was auf? Ich habe das eben an die
> freebsd-jail-Liste geschickt, ich vermute, irgendwas ist mit ipfw/natd und
> vnet-Jails faul.
>
> Ich habe versucht, die Regeln ein bißchen zu vereinfachen (z.B. allen
> recv/xmit-Interface-Kram rauszulassen).
>
> Hier nochmal das Setup:
>
> Internet->age0(Host-Interface mit natd und externer IP)
> ->bridge10(10.0.10.254)->epair1a
> ->epair1b(10.0.10.1 im bind vnet-Jail)
>
> Im Jail wird alles durchgelassen
> (ipfw allow ip4 from any to any)
>
> Hier die relevanten Regeln, um UDP port 53 zum DNS-Server "durchzulassen"
> (mit natd.conf "redirect_port udp 10.0.10.1:53 external.ip:53")
>
> 00100 divert 8668 ip4 from any to any via age0
> 03100 allow udp from any to 10.0.10.1 dst-port 53 keep-state
> 03200 allow udp from any to me dst-port 53 keep-state
>
> Ich muß
>
> 03300 allow udp from me 53 to any
>
> hinzufügen, bis ich von draußen zugreifen kann.
>
> Heißt das, ipfw/natd arbeiten in diesem Setup nicht richtig mit "keep-state"?
>
> Es grüßt
> Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 09 Jul 2014 - 08:22:03 CEST