> On 10 Dec 2020, at 10:42, Dan Lukes wrote: >> Neexistuje nějaká možnost povolit jailu, aby viděl i ostatní spojení jeho IP >> adresy, aby tento nešťastný výběr zdrojového portu nenastával? > > Nevim o tom, ze by mira oddelenosti jailu byla az tak jemne konfigurovatelna.
U jailů je možné nastavit několik allow.* omezení. Vím, že to tam není, ale psal jsem to pro případ, že něco přehlížím. Jinak kdyby ten výběr odchozího portu dělala nějaká rutina “níž v kernelu”, tak by mohla ten port vybrat volný. Protože pak to beztak selže někde “níž v kernelu”. Ale chápu, že když se to tak nemá používat, tak je to jedno. > Vnucuje se ale otazka - proc tam ten jail mas ? Ale nechci zadnou obecnou > odpoved "aby byly veci oddelene", protoze prave diskutujeme zruseni casti > toho oddeleni. > > Zajima me jakym konkretni rizika se pouzitim jailu pokousis omezit. Mohlo by > se uakzat, ze stejneho nebo podobneho vysledku lze dosahnout nejak jinak, bez > pouziti jailu. Treba chrootem ... Můj důvod je (bohužel právě) oddělení služeb a jednodušší správa. Chroot by pro některé služby byla možnost, ale kompletní systém/jail mi přijde jednodušší na správu a navíc chroot je pro jednu službu, ale často mám v jailu víc (souvisejících) služeb. Za jednu z výhod jailů považuji právě to oddělení. Když například aktualizuji balíčky a něco se pokazí, tak to odnese jenom ten jeden jail. > >> Je tedy jediná správná cesta přejít na privátní IP adresy a port >> forwarding/NAT? > > > Jestli jedinna to nevim, ale je to existujici funkcni cesta. Otazka je, v cem > ti nevyhovuje natolik, ze venujes cas hledani nejake jine. Jestli je správné použití jailů takové, že každý jail má mít svojí vyhrazenou IP adresu a jsem jediný, kdo to používá se sdílenou IP adresou, tak nemám problém to předělat na privátní IP adresy a NAT. Já si právě pamatuju (možná špatně), že když jsem s jaily začínal, tak se nabízely dvě možnosti - sdílená IP adresa nebo oddělená. A mně sdílená IP adresa nevadila a přišlo mi to jednodušší v tom, že tam není navíc další (stavová) vrstva s NATem. Navíc s ipfw je potřeba běžet natd a s pf (kde je to jednodušší) moc nekamarádím. Majo -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
