On 19.03.2016 19:41, Vladislav V. Prodan wrote: > > Неправда. На лупбек, как и на любой другой интерфейс, можно повесить > алиасом > вообще любой адрес. > Можно. Но обязательно первым в списке IP из 127/8 :)
Необязательно. > > Если на lo0 будут другие IP, отличные от 127/8, то к некоторым сервисам > коннектов не будет, ибо там жесткий ACL - только из 127/8. > Нет такого ACL. Есть обратное - если из других интерфейсов приходят > пакеты с адресами из 127/8, > то они дропаются, таково требование RFC. Но это вовсе не запрещает > использовать на лупбеках > хоть даже и публично маршрутизируемые адреса. Более того, это > распространенная практика. > > Если не будет первого в списке IP из 127/8, то src IP из jail будет не из > 127/8. Тот же Mysql по дефолту не пускают коннекты не из localhost. Так то по дефолту. Если разрешить доступ - прекрасно пускает. Кроме того, как я уже говорил, подключение "к localhost" выполняется через mysql.sock, а не по TCP и проблемы нет. > > > Хочется обойти момент и не переписывать везде в настройках > клиентского ПО localhost. > > Этого не избежать. Вообще непонятна страсть везде предполагать > локальный mysqld, > > когда он прекрасно работает и в удаленном варианте. > > Нужно сооружать роутинг между jail'ами, а это не всегда секьюрно. > > "Сооружать" это громко сказано, всё работает само. > И не вижу проблем с безопасностью при общении процессов разных jail между > собой при необходимости, > это в любом случае безопасней, чем общение процессов внутри одного jail. > > Одно дело открыть для одного порта или сервиса взаимодействие, а другое дело > для всей jail > И вот как ограничить общение только между двумя jail ? Множество способов. Можно использовать предусмотренные ограничения доступа уровня приложений (hosts.allow, ограничения внутри MySQL etc.). Можно пакетным фильтром добавлять правила для пакетов, бегающих через лупбек. Всё зависит от конкретных задач. > Когда делаешь allow.sysvipc = 1 и описываешь devfs_ruleset , то ты открываешь > доступ к этой jail для всех jail на этой хост машине, а не только конкретной. SYSV IPC это отдельная тема, я говорил об IP.
