A na přístup k lokálním službám používám také lo1 , na master systému mám nahozenou .1 z toho rozsahu a odkazuji se na ní. Pak je to buď pass in on lo1 from $ipjailu, nebo něco obdobného. Vilém
Dne 16. 9. 2017 8:43 dop. napsal uživatel "Vilem Kebrt" < [email protected]>: > rdr on em0 inet proto tcp from any to $verejka port { seznam portu } -> > $ipjailu > pass in on em0 inet proto tcp from any to $verejka port {seznam portu} > pass inet from any to $ipjailu port {seznam portu} > > Takto to funguje mě. > Vilém > > Dne 15. 9. 2017 1:20 odp. napsal uživatel "Miroslav Lachman" < > [email protected]>: > >> Mam stroj s FreeBSD 10.3 a PF firewallem. >> Na tom stroji je naklonovany interface lo1 s IP z rozsahu 172.16.1.0/24 >> >> V PF mam NAT smerem ven, takze z jailu se v poradku dostanu do internetu. >> >> nat on $ext_if from $jail_addr_0 to !$jail_addr_0 -> $ext_addr_0 >> >> Problem je, ze se z jailu nedostanu na sluzby, ktere bezi na adrese >> hostitele: $ext_addr_0 >> >> Podle pftop to blokuje defaultni pravidlo "block all" (tedy cokoliv, co >> neni jmenovite povoleno" >> >> >> Pokud interface lo1 pridam do $unfiltered, kde se pak nastavuje set skip, >> tak vsechno funguje: >> >> set skip on $unfiltered >> >> Chtel jsem ale jen pridat pravidlo "pass out", jenze to nefunguje, ani v >> hodne obecne forme >> >> pass out on $jail_int_if inet from any to any >> >> Packety jsou porad blokovany tim defaultnim "block all". >> >> Trosku se ztracim v tom, jak to na pozadi funguje, protoze se tam micha >> NAT a to, ze packety z lo1 ve skutecnosti tcpdump vidi na lo0. >> >> Takze otazka v podstate primo na Dana :) >> Co je potreba povolit, abych se z jailu dostal jak ven (skrz NAT), tak na >> slozby bezici na tom stroji? >> >> Mirek >> -- >> FreeBSD mailing list ([email protected]) >> http://www.freebsd.cz/listserv/listinfo/users-l >> > -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
