Ja jsem pred nedavnem resil to ze mam pouze jednu ipv6 a to jeste skrze
tunneling(na hlavnim systemu).
Nicmene jsem chtel ostatni sluzby aby tam sly take.
u HTTP/HTTPs to slo jednoduse pomoci reverzni proxy co tam mam (nginx),
ale u smtp/smtps, imap/imaps a pop3/pop3s jsem narazil.
Nakonec to skoncilo jednoduchym skriptem za pomoci socatu:
#!/bin/sh
# SMTP/SMTPs #
nohup socat TCP6-LISTEN:25,fork TCP4:<ipv4_jail>:25 &
nohup socat TCP6-LISTEN:465,fork TCP4:<ipv4_jail>:465 &
# POP3/POP3s #
nohup socat TCP6-LISTEN:110,fork TCP4:<ipv4_jail>:110 &
nohup socat TCP6-LISTEN:995,fork TCP4:<ipv4_jail>:995 &
# IMAP/IMAPs #
nohup socat TCP6-LISTEN:143,fork TCP4:<ipv4_jail>:143 &
nohup socat TCP6-LISTEN:993,fork TCP4:<ipv4_jail>:993 &
A svete div se , funguje to bez potizi , proste jsem si "udelal reverz
proxy" na ostatni protokoly timhle stylem :)
Vilem
On 07/15/2015 09:57 AM, Zbyněk Burget wrote:
Dne 15. 7. 2015 v 7:56 Vilem Kebrt napsal(a):
Ahoj,
obavam se ze localhost je softwareova zalezitost kernelu, tech vic
asi vazne neudelas, zvlaste v jailu kde je spousta veci zamerne
zakazanych.
Konfigurace jailu tak, aby na nem bylo vice IP adres, by mela byt
mozna. Podle informaci, ktere jsem nasel by pri komunikaci jailu na
adresu 127.0.0.1 mela byt pouzita prvni IP adresa, ktera je jailu
pridelena. Coz podle mych zjisteni asi funguje. Co mne prekvapilo je,
ze jail pri vice IP adresach prestane komunikovat do urciteho smeru
ven ze stroje.
Navic na co to prosimte potrebujes ?
Ja osobne mam nekolik jailu propojenych skrze lo1 na kterem mam
privatni rozsah a ven jdou pres jednu ip pomoci pf natu (oddelene
jaily pro ruzne sluzby serveru).
Na routeru mi bezi nekolik dalsich sluzeb (napriklad dns), ktere mam
povesene v samostatnych jailech. A jaily jsou na verejnych adresach,
takze je nemusim nikde proNATovavat. Mam to tak proto, abych v pripade
potreby mohl danou sluzbu snadno presunout na jiny fyzicky stroj, aniz
bych musel menit IP adresu daneho serveru. Ma to ale jeden hacek a to
je to, ze mi pak vsechny aplikace v jailu visi na te verejne adrese.
Neprijemne je to hlavne v pripade sendmailu, ktery pak nebezi jen na
localhostu, ale na verejne IP. Takze to musim ruzne obchazet. Kdyz
jsem nasel informaci o tom, ze jail muze mit vice IP adres a bylo to
popsano prave s ohledem na vytvoreni loopbacku v jailu, zajasal jsem a
jal se to otestovat. Ovsem cim prudsi byl rozbeh, o to tvrdsi byl
naraz :-)
Zamer je, aby na verejne bezelo jen to, co tam bezet ma a ostatní
sluzby, ktere tam bezet nemají (syslog, sendmail) budou povesene jen
na localhost. Tohle se mi bez problemu povedlo nakonfigurovat. Jediny
(bohuzel fatalni) problem je, ze mi ten jail nekomunikuje smerem ven
do sveta.
Uz ani nevim, ktera verze FBSD byla jako prvni, kde jsem jaily zacal
pouzivat, ale bylo to nekdy v roce 2004. Jsem s tim maximalne
spokojeny, jen ten neexistujici loopback mi tam chybi.
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice
tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ: 606 88 220; DIČ: CZ7210184674
--
S pozdravem Vilem Kebrt
email: [email protected]
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
