Mam stroj s FreeBSD 10.3 a PF firewallem.
Na tom stroji je naklonovany interface lo1 s IP z rozsahu 172.16.1.0/24
V PF mam NAT smerem ven, takze z jailu se v poradku dostanu do internetu.
nat on $ext_if from $jail_addr_0 to !$jail_addr_0 -> $ext_addr_0
Problem je, ze se z jailu nedostanu na sluzby, ktere bezi na adrese
hostitele: $ext_addr_0
Podle pftop to blokuje defaultni pravidlo "block all" (tedy cokoliv, co
neni jmenovite povoleno"
Pokud interface lo1 pridam do $unfiltered, kde se pak nastavuje set
skip, tak vsechno funguje:
set skip on $unfiltered
Chtel jsem ale jen pridat pravidlo "pass out", jenze to nefunguje, ani v
hodne obecne forme
pass out on $jail_int_if inet from any to any
Packety jsou porad blokovany tim defaultnim "block all".
Trosku se ztracim v tom, jak to na pozadi funguje, protoze se tam micha
NAT a to, ze packety z lo1 ve skutecnosti tcpdump vidi na lo0.
Takze otazka v podstate primo na Dana :)
Co je potreba povolit, abych se z jailu dostal jak ven (skrz NAT), tak
na slozby bezici na tom stroji?
Mirek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
