jail сеть

[gcc]

собрал клетку, заработа! алисас добавил

Код: Выделить всё

 inet 192.168.0.203 netmask 0xffffff00 broadcast 192.168.0.255

но не понял, нету соединений из клекти!!!

зашел

Код: Выделить всё

    jail /usr/local/jails/jail_test/ test 192.168.0.203 /bin/csh

rc.conf

Код: Выделить всё

ifconfig_rl0_alias0="inet 192.168.0.203 netmask 255.255.255.0"
    inetd_flags="-wW -C 60 -a 192.168.0.203"
    #syslogd_flags="-b 192.168.0.203"
    jail_enable="YES"
    jail_list="www"
    jail_set_hostname_allow="YES"
    jail_www_rootdir="/home/jails/jailwww"
    jail_www_hostname="test"
    jail_www_ip="192.168.0.203"
    jail_www_devfs_enable="YES"
    jail_www_procfs_enable="YES"
    jail_www_flags="-l -U root"

что надо добавить? маршрут может?

или я что-то не правильно сделал?

я по гуглил, но нормальную статью с описанеим нормальным не нашел... в мане только это написано...

[*Sasha*]

В клетке что ifconfig показывает?

[arachnid]

алиас всегда имеет маску 32 (если адрес находиться в той же подсети)

[gcc]

на интерфейсе

Код: Выделить всё

    inet 10.6.0.56 netmask 0xffff0000 broadcast 10.6.255.255

тогда маску на inet 192.168.0.203 такую 255.255.255.255?

В клетке что ifconfig показывает?

Код: Выделить всё

 ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=48<VLAN_MTU,POLLING>
    ether 00:0e
    inet 192.168.0.203 netmask 0xffffff00 broadcast 192.168.0.255
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
ed0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    ether 52:54:ab:13:61:56
    media: Ethernet autoselect (10base2/BNC)
xl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=49<RXCSUM,VLAN_MTU,POLLING>
    ether 00:0d:87:5b:ee:b5
    media: Ethernet autoselect (none)
    status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384

[gcc]

алиас всегда имеет маску 32 (если адрес находиться в той же подсети)

тоже самое, на ftp из sysinstall зайти не могу, пинга нету. тоже

еще добавил,написал jail_www_interface="rl0"

кто как ставил?

просто сети нету, и фиг знает в чем проблема ...

[*Sasha*]

попробуй айпишник из одной подсети, у меня работает так

Код: Выделить всё

ifconfig_re0="inet 192.168.1.253 netmask 255.255.255.0"
ifconfig_re0_alias0="inet 192.168.1.1 netmask 255.255.255.0"


syslogd_flags="-b 192.168.1.253"

jail_enable="YES"
jail_list="jail1"
jail_set_hostname_allow="YES"
jail_jail1_rootdir="/sasha/temp/jail1"
jail_jail1_hostname="test-jail.local"
jail_jail1_ip="192.168.1.1"
jail_jail1_devfs_enable="YES"
#jail_jail1_procfs_enable="YES"
jail_jail1_flags="-l -U root"

[gcc]

а можно поставить айпи из разнох сетей не реальных? можно будет 192.0.0.1?

везде написано что надо из реальной
там 2 порта можно будет перебросить из клетки в систему?

[gcc]

как перебросить порт 80 из клекти (из не реального айпи) в основную систему (в реальный айпи)

[arachnid]

э... не очень понял, как это быдет выглядеть с точки зрения ip
в клетке ip работает алиасом. ну как вариант либо на алиас втупую форвардить, либо попробовать натить
а зачем так через?

[gcc]

смотри есть сеть очень много компьютеров

у меня на интефейсе не неальный адерсс! на устройстве провайдера идет НАТ чтобы мой айпи ыбл реальным, другим

какой мне поставить адресс в jail? (есл ия поставлю айпи из этой сети, то он может конфликтовать с оборудование провайдера!)

чтобы не из этой сети? тогда НАТить алиас?

[arachnid]

хм... давай так
inet - провайдер (NAT) - твой комп - jail

ты в jail поднимаешь web-сервер. но не хочешь покупать у прова еще один белый ip? ты хочешь принимать соединения на один белый адрес, но раскидывать их по другим адресам, используя порт назначения? я правильно понял?

в общем - нат, но как будет выглядеть конструкция, натящая сама на себя внутрь тюрьмы, мне представить пока сложно

[gcc]

запутался

скажите еще раз реально ли в клекте поставить серый айпи (и алиас соответсвенно в основной системе) не с той сети в которой айпи на интерфейсе????! и его НАТить чтобы была сеть в клетке?

[ivan2ksusr]

запутался

скажите еще раз реально ли в клекте поставить серый айпи (и алиас соответсвенно в основной системе) не с той сети в которой айпи на интерфейсе????! и его НАТить чтобы была сеть в клетке?

Могу и ошибаться, но вот кажется одно из ваших решений

Вопроса просто малость не понял

[gcc]

что-то запутлся...

подскажите делаю по этой статье http://www.scottro.net/qnd/qnd-ezjail.html

сделал все как там, но не могу зайти в ssh просто... просто молчит

мне надо natd настроить, я правильно понимаю?

если айпи в разных сетях, как настроить маршрутизацию из клетки в основную машину? ну чтобы SSH работал?

я добавил в основную

Код: Выделить всё

ifconfig_fxp0_alias0="inet 192.168.1.231/32"

Код: Выделить всё

export jail_apachejail_hostname="apachejail"
export jail_apachejail_ip="192.168.1.231"
export jail_apachejail_rootdir="/usr/jails/apachejail"
export jail_apachejail_exec="/bin/sh /etc/rc"
export jail_apachejail_mount_enable="YES"
export jail_apachejail_devfs_enable="YES"
export jail_apachejail_devfs_ruleset="devfsrules_jail"
export jail_apachejail_procfs_enable="YES"
export jail_apachejail_fdescfs_enable="YES"

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags=""
natd_flags="-f /etc/natd.conf"

/etc/natd.conf

Код: Выделить всё

    -redirect_port tcp 10.8.0.100:25 25
    -redirect_port tcp 192.168.1.231:80 80

как тут указать еще один порт?

Код: Выделить всё

    -redirect_port tcp 10.8.0.100:25 25 22
    -redirect_port tcp 192.168.1.231:80 80 22

???

запускаю:

Код: Выделить всё

/usr/local/etc/rc.d/ezjail.sh restart

в клетке:

Код: Выделить всё

rpc_bind_enable="NO"
network_interfaces=""
sshd_enable="YES"
sendmail_enable="NO"
defautrouter="192.168.1.1"
early_late_divider="NETWORKING"

в клетке ифконфиг почему-то не показывает айпи

Код: Выделить всё

ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=48<VLAN_MTU,POLLING>
    ether 00:0e:2e:
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active

подскажите, что это за айпи 192.168.1.1 ?? если у меня в другой сети стоит айпи который на основной машине, я пробовал там поставить 10.8.0.100?
что делать? где завтыкал?

Могу и ошибаться, но вот кажется одно из ваших решений

Вопроса просто малость не понял

как это сделать на natd или ipfw?

я сделал так

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags=""
natd_flags="-f /etc/natd.conf"

не работает


айпи на сетевой в клетке появился, как настроить сеть елси айпи разные?

НАТД включил, но что-то не фуричит!!!

маршрут по умолчанию может быть на другую сеть на 10.8.0.100? с 192.168.1.231?

как замутить тоже самое на natd или ipfw, и куда маршрут прописаь? а то получается что шлюз в другой сети стоит...

Код: Выделить всё

lan_if="em0"
lan_if_subnet="10.0.0.0/8"
lan_if_ip="10.28.11.10"
jail_vps_server_ip="202.54.2.3"
nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

добавил

Код: Выделить всё

add divert 8668 ip from 192.168.1.231 to any in via rl0

появился пинг есть на внешний айпи 10.8.0.100 (который тоже НАТиться)
но выходжа в интернет нету, что делать?


ЗЫ как правило у каждой сети есть свой шлюз, а как тут сделать?

ЗЫЫ (как только срочно надо, то никогда не сделаешь... надо гемороить...)

UPD

пытаюсь прописать марщрут такая хрень

Код: Выделить всё

test# route add default 10.8.0.100
route: writing to routing socket: Operation not permitted

поставил

Код: Выделить всё

security.jail.socket_unixiproute_only=0

типо должно маршруты давать

http://forums.freebsd.org/archive/index.php/t-3372.html

[gcc]

кстате, кто знает, скажите, может нельзя привязывать алиас к интерфейсу другой сети (алиас получается другой сети)?

то есть нужно чтобы алиасы соответствовали сети в которой айпи на интерейсе?

[gcc]

товарищи, так какие варианты?

я фигею, на всех форумах никто на шарит как настроить сеть в клетке!!

может я что-то перепутал...

[*Sasha*]

С конфигом из поста #6, сеть работает и с адресом и из той же подсети и с любым другим.

[gcc]

У меня ipfw

там pf, как это сделать на ifw? или на natd нельзя чтоли?

[*Sasha*]

У меня ipfw

там pf, как это сделать на ifw? или на natd нельзя чтоли?

Где вы там увидели pf, что бы проста работала сеть не нужен ни какой nat

[gcc]

там понятно... я ставил - по-моему рабоатло...
но повторюсь: именно сейчас на интерфейсе стоит айпи из локальной сети (дальше он НАТися на реальный), я не могу из этой сети поставить айпи в алиас... !!!
я хочу сделать несколько клеток штук 5-15, 20 айпишников мне не дадут... (тем более их нужно занатить еще на рельный адресс)

ну так, а НАТ нельзя поставить?

кстате, такое увидел, у всех ли так?

Код: Выделить всё

#netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            10.8.0.1           UGS         0    40408    rl0
10.8.0.0/16        link#1             U           0      104    rl0
10.8.0.100          link#4             UHS         0      936    lo0
127.0.0.1          link#4             UH          0     5994    lo0
192.168.1.231      link#4             UHS         0      122    lo0 =>
192.168.1.231/32   link#1             U           0        0    rl0

Код: Выделить всё

apachejail# netstat -rn
netstat: kvm not available: /dev/mem: No such file or directory
Routing tables
rt_tables: symbol not in namelist

[*Sasha*]

Покажи что у тебя в rc.conf

[gcc]

Код: Выделить всё

# -- sysinstall generated deltas -- # Wed Sep 27 19:56:17 2006
# d Created: Wed Sep 27 19:56:17 2006
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
rc_info="YES"
gateway_enable="YES"
#ifconfig_ed0="DHCP"
inetd_enable="YES"
linux_enable="YES"
named_enable="NO"
#rpcbind_enable="NO"
#rpcbind_enable="YES"
#saver="daemon"
moused_port="/dev/cuad0"
moused_enable="YES"
sshd_enable="YES"
usbd_enable="YES"
keymap="ru.koi8-r"
#mousechar_start=3
scrnmap="koi8-r2cp866"
font8x16="cp866b-8x16"
font8x14="cp866-8x14"
font8x8="cp866-8x8"
#named_enable="YES"
#hostname=curly.  # Set this!
#samba_enable="YES"
cleanvar_enable="YES"
clear_tmp_enable="YES"   # Clear /tmp at startup.
clear_tmp_X="YES"       # Clear and recreate X11-related directories in /tmp
linux_enable="YES"

log_in_vain="YES"
firewall_enable="YES"
firewall_type="/etc/rc.fire"
#firewall_type="OPEN"
firewall_logging="YES"
firewall_quiet="YES"

#firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
#firewall_flags=""               # Flags passed to ipfw when type is a file

###root_rw_mount="YES"

#natd_enable="YES"
#natd_interface="xl0"
#natd_interface="ed0"
#natd_flags="-f /etc/natd.conf"
#natd_flags=""

#lpd_enable="YES"
#ntpdate_enable="YES"
#ntpdate_flags="-b ntp.colocall.net"
#openvpn_enable="YES"

tcp_drop_synfin="YES"

icmp_drop_redirect="YES"
icmp_log_redirect="YES"
icmp_bmcastecho="NO"

sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

tcp_keepalive="YES"
tcp_drop_synfin="YES"
syslogd_enable="YES"
tcp_extensions="NO"
tcp_restrict_rst="YES"

fsck_y_enable="YES" # -- sysinstall generated deltas -- # Tue Apr  3 15:54:30 2007
background_fsck="NO"

local_startup="/usr/local/etc/rc.d"
virecover_enable="NO"
accounting_enable="YES" # рПМЕЪОП ОБ УЕТЧЕТЕ
#kern_securelevel_enable="YES" # дМС ТБВПЮЕК УФБОГЙЙ ПФЛМАЮЙФШ ("NO")
#kern_securelevel="-1"
syslogd_flags="-ss -cc"

#ifconfig_ed0="inet 192.168.1.33"
#defaultrouter="192.168.1.1"

#ifconfig_xl0="inet 10.8.0.58 netmask 255.255.0.0 media 100baseTX mediaopt half-duplex"

ifconfig_rl0="inet 10.8.0.58 netmask 255.255.0.0"

#ifconfig_xl0="media 100baseTX mediaopt half-duplex"
defaultrouter="10.8.0.1"

#squid_enable="YES"


hostname="thedj.org.ua"
#ntpdate_enable="YES"
#ntpdate_flags="-b ntp.colocall.net"
###################################33
dumpdev="/dev/ad0s1b"            # Device to crashdump to (device name, AUTO, or NO).
dumpdir="/var/crash"    # Directory where crash dumps are to be stored
#savecore_flags=""       # Used if dumpdev is enabled above, and present.

#openvpn_enable="YES" # чЛМАЮБЕН БЧФПЪБЗТХЪЛХ
#openvpn_if="tap" # ЧЩВЙТБЕН ЛБЛПК ДТБКЧЕТ ЪБЗТХЦБФШ

########openvpn_flags="" # ЖМБЗЙ ЛПНБОДОПК УФТПЛЙ openvpn
#openvpn_configfile="/usr/local/etc/openvpn.conf" # жБКМ ЛПОЖЙЗБ, ФХФ ПО ДМС УЕТЧЕТБ
#openvpn_dir="/usr/local/etc/openvpn" # лПТОЕЧБС ДЙТЕЛФПТЙС ДМС openvpn

########amd_enable="YES"

mysql_enable="YES"
mysql_dbdir="/usr/local/db/mysql"

apache22_enable="YES"
apache22_http_accept_enable="YES"
proftpd_enable="YES"

#
#courier_authdaemond_enable="YES"
#courier_imap_pop3d_enable="YES"
#postfix_enable="YES"

squid_enable="YES"

#enable_quotas="YES"

#monitord_enable="YES"
#fusefs_enable="YES"


monit_enable="YES"


named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-u bind -c /etc/namedb/named.conf"

sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"


##gnome_enable="YES"
##dbus_enable="YES"
##hald_enable="YES"


postfix_enable="YES"
courier_authdaemond_enable="YES"
#courier_imap_imapd_enable="YES"
#courier_imap_imapd_ssl_enable="YES"

courier_imap_pop3d_ssl_enable="YES"
courier_imap_pop3d_enable="YES"


#ifconfig_rl0_alias0="inet 192.0.0.98 netmask 255.255.255.255"





ifconfig_rl0_alias0="inet 192.168.1.231/32"

natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"

ezjail_enable="YES"

 jail_apachejail_hostname="apachejail"
 jail_apachejail_ip="192.168.1.231"
 jail_apachejail_rootdir="/home/jails/apachejail"
 jail_apachejail_exec="/bin/sh /etc/rc"
 jail_apachejail_mount_enable="YES"
 jail_apachejail_interface="rl0"
 jail_apachejail_devfs_enable="YES"
 jail_apachejail_devfs_ruleset="devfsrules_jail"
 jail_apachejail_procfs_enable="YES"
 jail_apachejail_fdescfs_enable="YES"






























#inetd_flags="-wW -C 60 -a 192.0.0.98"

#syslogd_flags="-b 192.168.0.203"

#jail_enable="YES"

#jail_list="www"

#jail_set_hostname_allow="YES"


#jail_www_rootdir="/home/jails/jailwww"

#jail_www_interface="rl0"

#jail_www_hostname="test"

#jail_www_ip="192.0.0.98"

#jail_www_devfs_enable="YES"

###jail_www_procfs_enable="YES"

#jail_www_flags="-l -U root"