Vlad GALU> On 5/21/06, Dragos <[EMAIL PROTECTED]> wrote:
>> Salut,
>> Am cateva nedumeriri legate de interoperarea dintre jailuri si
>> networking-ul din Freebsd.
>> Spre exemplu, din cate am observat nu se poate modifica dintr-un jail
>> nimic pe partea de
>> networking(rute, etc).
>> Insa nu inteleg care e circuitul pe care il urmeaza un pachet plecand
>> dintr-un jail
>> configurat pe interfata interna a unei statii care ruteaza sau/si face nat.
Vlad GALU> ip stack -> network
>> Presupunand ca serverul are ip-urile x in lan, si a, b, c... in internet,
>> iar jailul e
>> pornit cu un ip din lan(chiar si x).
>> In jail teoretic nefiind decat o interfata (eu nu am gasit o metoda de a
>> porni un jail
>> cu mai multe interfete), pachetul iese pe acea interfata.
>> Apoi incotro o ia? Pentru ca nu are o ruta default sau specifica... Intra
>> cumva prin ip-ul x
>> al serveruli care e gate pt reteaua LAN, apoi este mai departe rutat (sau
>> natat) spre internet.
Vlad GALU> O ia prin default route. In jail nu e duplicata stiva tcp/ip.
Vlad GALU> IP-ul pe care-l foloseste jailul respectiv apartine in continuare
Vlad GALU> sistemului gazda. Deciziile normale de routing se aplica.
In acest caz cum se pot aplica politici de balansare a traficului de
iesire din sistem? Linuxul stie rutare multipath. Initial kernelul de linux
avea nevoie de patchuri iar apoi multipath-ul devenit optiune in kernelul de
baza.
In cazul FreeBSD, la versiunile mai vechi existau deasemenea patchuri
pentru kernel a.i. sa poti face rutare multipath. Pentru versiunile 5.4, 6.1,
etc nu a mai vazut un asemenea patch, fiind posibila aplicarea se politici de
rutare prin PF. Dar cum se poate face rutare multipath pentru sistemul in
cauza, eventual chiar un desktop.
PS: o imbunatatire ar putea fi adusa si comenzii ping care ori nu stie sa faca
bind pe o interfata ori sunt eu prea obosit si nu gasesc parametrul. (exista
desigur varianta specificarii adresei sursa dar e mai greoi de utilizat). Ar fi
dragut sa poti da doar ping yahoo.com -I rl1 :)
Si daca tot veni vorba, un mare plus ar fi daca s-ar accepta ca parametrii
comenzilor sa poata fi specificati in orice ordine ca in linux(pentru confort
in consola desigur). M-as uita in cod daca as stii unde sa caut si ce sa caut
:)
>> Si daca da unde se poate face policy pentru traficul respectiv?
>> Impresia mea e ca nici macar nu iese prin interfata si nu trece prin nici
>> un firewall pe interfata de lan.
Vlad GALU> La fel ca la alineatul precedent.
>> Daca din jail trece direct prin kernel in sistemul gazda, ar fi cam
>> aiurea pentru ca ar insemna ca nu exista
>> o reala separare intre jail si sistemul gazda.
Vlad GALU> Fraza asta n-are un sens anume :)
mea culpa :)
>> Orice idee e binevenita :)
>> Numai bine,
>> Dragos
________________________________________________________
To unsubscribe send a mail to [EMAIL PROTECTED]
