The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Проброс сети во FreeBSD Jail через ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Проброс сети во FreeBSD Jail через ..."  +/
Сообщение от auto_tips on 26-Фев-09, 00:56 
Сервер работает под управлением FreeBSD 7 и имеет два сетевых интерфейса:
один для интранет сети, другой для связи с внешними миром.

Задача: обеспечить доступность изолированного Jail для обоих сетей, несмотря на ограничение jail
по поддержке только одного интерфейса и одного IP.

Решение: через NAT организовать отправку всех запросов к адресам интранет сети 10.0.0.0/8.

В /etc/pf.conf на сервере прописываем:

   an_if="em0" # интерфейс интранет подсети
   lan_if_subnet="10.0.0.0/8"
   lan_if_ip="10.28.11.10" # IP на интранет интерфейсе em0
   jail_vps_server_ip="202.54.2.3" # Реальный IP, выделенный для Jail
   nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

Перезапускаем PF через /etc/rc.d/pf reload


URL: http://www.cyberciti.biz/faq/use-private-lan-dns-servers-in-.../
Обсуждается: https://www.opennet.ru/tips/info/1959.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от john doe email on 26-Фев-09, 00:56 
А binat не лучше в таких случаях? nat обеспечит исходящие пакеты, а каким образом пакеты извне попадут в jail?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от Добрый Дохтур on 26-Фев-09, 01:11 
какая сложная система костылей и подпорок и потенциальный DoS ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от abigor email on 26-Фев-09, 04:12 
использовать Jail2 там несколько ip можно делать если память мне не изменяет
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от Аноним (??) on 26-Фев-09, 13:33 
бред какой-то ... А ведь кто-то еще и повторить написанное додумается ...

Зачем все это надо? Где тут "доступность" jail'а обеспечивается?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от Дмитрий email(??) on 26-Фев-09, 17:14 
jail уже держит несколько ip
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от cvsup (ok) on 27-Фев-09, 01:12 
+1
Появится это правда лишь в 7.2.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от просто инфо on 27-Фев-09, 11:56 
Вероятно автор забыл указать что "вырванный" кусок из пф конфига отвечает лишь за то что сам виртуальный сервер имел доступ к локальной сетке, а локальная сетка имеет доступ к нему через общее правило нат. В любом случае оригинальное решение. Вероятно если не стоят правила кип-стейт, программы что получают ответы вешаються.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от PavelR (??) on 01-Мрт-09, 08:20 
А что, обычная маршрутизация по реальному айпи Jail-окружения из локалки и обратно не работает ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от fox email(??) on 22-Сен-09, 23:37 
Люди добрые, а как сделать больше одного IP для jail уже во FreeBSD 7.2 ?????
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Проброс сети во FreeBSD Jail через NAT и PF"  +/
Сообщение от sekrett email on 30-Май-16, 13:41 
Тут не совсем правильный перевод с английского. Реализация хорошая, но для другой задачи. Речь идет о том, как на одном IP адресе запустить несколько джайлов, а не как несколько IP адресов прикрепить к одному джайлу. Автор писал о том, что у него в джайлах крутятся mysql, dns, почта. Видимо ему достаточно перенаправить порты для всех этих служб, а из инета все доступно с одного IP адреса. Я именно так и делаю, супер статья, но немного не дописана.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру