[BSD] Jail kérdés

Andras POTOCZKY andras-ml at wertz.hu
2008. Már. 25., K, 18:32:39 CET 

Hi

Szerintem is csinalj belso privat IP cimeket.
Tok mindegy, hogy melyik lan interface-re huzod ra a jail-ben hasznalt 
IP cimed, meg azt is megoldhatod, hogy csak egy lan interface-ed van egy 
publikus IP-vel es megis korlatlan jail IP-d lehet a korlatlan jail-ed 
mellett.

Egyreszt egyszeruen felhuzhatod pl az lo0-ra is a jail IP cimed, vagy a 
meglevo interface-re, vagy ha tobb is van, akkor barmelyikre, csak a 
lenyeg, hogy a target port legyen atiranyitva a jail IP cimedre es 
persze celszeru, ha az adott szolgaltatas csak azon az IP-n uzemel, ami 
a jail-en belul mukodik es a kulso IP-d adott port forgalmat atiranyitod ra.

Szoval az elso kerdesre a valasz: igen, lehet tobb jail-nek ugyanazon IP 
cime, de szerintem folosleges, megoldhatod privat cimekkel is.

Masodik kerdesre a valasz: igen, jol gondolod, fel kell venni jo 
szabalyt a tuzfalban, megoldani a natolast es megcsinalni a port 
forwardokat is.

Udv
  Andras


>> Üdv!
>>
>> Mielött elkezdenék vele pöcsölni, hátha már valaki végigjátszotta a
>> játékot...
>>
>> Bevezetés:
>> Adott véges számú privát IP cím, (amin osztozik véges számú fizikai host),
>> és adott "végtelen" számú virtuális gép/jail.
>> Nomármost jól látszik, hogy itt a vagy sok szolgáltatás fut egy-egy
>> virtuális gépben/jail-ben vagy valami okossággal szét kellene szórni a
>> szolgáltatásokat, de úgy, hogy nem pocsékoljuk el a felhasználható IP-ket.
>> Ja, FreeBSD 6.3-on vannak a jail-ek.
>>
>>
>> Kérdések:
>> Valaki szerint (gugli) megtehetö, hogy több jail-nek azonos az IP-je, csak a
>> használt portok ne ütközzenek. A leírásban (számomra) nem egyértelmü, hogy
>> abban a megoldásban minden jail-nek azonos-e az IP-je, vagy csak néhánynak.
>> Szóval az elsö kérdés; lehet-e néhány jail-nek azonos IP-je, ha a kifelé
>> mutatott szolgáltatások portjai nem ütköznek?
>>
>> Második lehetöség, hogy bizonyos jail-ek IP-i nem a privát, hanem a publikus
>> tartományból (pl: 192.168.123.0/24) kerülnek kiosztásra. (Van is ilyen példa
>> a handbookban.)
>> Ugye jól gondolom, hogy ilyenkor a 'host' rendszer lan interfészéhez fel
>> kell vennem a kiosztott publikus IP-ket is és egy jólsikerült tüzfal
>> szabállyal NAT-olni azokat a külvilág felé? (Avagy proxyzni.)
>> (Ha rosszul gondolom, valami más megoldás?)
>>
>>
>> Péter
>>
>>

További információk a(z) BSD levelezőlistáról