rdr on em0 inet proto tcp from any to $verejka port { seznam portu } ->
$ipjailu
pass in on em0 inet proto tcp from any to $verejka port {seznam portu}
pass inet from any to $ipjailu port {seznam portu}Takto to funguje mě. Vilém Dne 15. 9. 2017 1:20 odp. napsal uživatel "Miroslav Lachman" < [email protected]>: > Mam stroj s FreeBSD 10.3 a PF firewallem. > Na tom stroji je naklonovany interface lo1 s IP z rozsahu 172.16.1.0/24 > > V PF mam NAT smerem ven, takze z jailu se v poradku dostanu do internetu. > > nat on $ext_if from $jail_addr_0 to !$jail_addr_0 -> $ext_addr_0 > > Problem je, ze se z jailu nedostanu na sluzby, ktere bezi na adrese > hostitele: $ext_addr_0 > > Podle pftop to blokuje defaultni pravidlo "block all" (tedy cokoliv, co > neni jmenovite povoleno" > > > Pokud interface lo1 pridam do $unfiltered, kde se pak nastavuje set skip, > tak vsechno funguje: > > set skip on $unfiltered > > Chtel jsem ale jen pridat pravidlo "pass out", jenze to nefunguje, ani v > hodne obecne forme > > pass out on $jail_int_if inet from any to any > > Packety jsou porad blokovany tim defaultnim "block all". > > Trosku se ztracim v tom, jak to na pozadi funguje, protoze se tam micha > NAT a to, ze packety z lo1 ve skutecnosti tcpdump vidi na lo0. > > Takze otazka v podstate primo na Dana :) > Co je potreba povolit, abych se z jailu dostal jak ven (skrz NAT), tak na > slozby bezici na tom stroji? > > Mirek > -- > FreeBSD mailing list ([email protected]) > http://www.freebsd.cz/listserv/listinfo/users-l > -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
