The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проброс сети во FreeBSD Jail через NAT и PF
Сервер работает под управлением FreeBSD 7 и имеет два сетевых интерфейса: 
один для интранет сети, другой для связи с внешними миром.

Задача: обеспечить доступность изолированного Jail для обоих сетей, несмотря на ограничение jail 
по поддержке только одного интерфейса и одного IP.

Решение: через NAT организовать отправку всех запросов к адресам интранет сети 10.0.0.0/8.

В /etc/pf.conf на сервере прописываем:

   an_if="em0" # интерфейс интранет подсети
   lan_if_subnet="10.0.0.0/8"
   lan_if_ip="10.28.11.10" # IP на интранет интерфейсе em0
   jail_vps_server_ip="202.54.2.3" # Реальный IP, выделенный для Jail
   nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

Перезапускаем PF через /etc/rc.d/pf reload
 
25.02.2009 , Источник: http://www.cyberciti.biz/faq/use-pr...
Ключи: pf, nat, jail, freebsd / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Обсуждение [ RSS ]
  • 1.1, john doe (?), 00:56, 26/02/2009 [ответить]  
  • +/
    А binat не лучше в таких случаях? nat обеспечит исходящие пакеты, а каким образом пакеты извне попадут в jail?
     
  • 1.2, Добрый Дохтур (?), 01:11, 26/02/2009 [ответить]  
  • +/
    какая сложная система костылей и подпорок и потенциальный DoS ;)
     
  • 1.3, abigor (?), 04:12, 26/02/2009 [ответить]  
  • +/
    использовать Jail2 там несколько ip можно делать если память мне не изменяет
     
  • 1.4, Аноним (4), 13:33, 26/02/2009 [ответить]  
  • +/
    бред какой-то ... А ведь кто-то еще и повторить написанное додумается ...

    Зачем все это надо? Где тут "доступность" jail'а обеспечивается?

     
  • 1.5, Дмитрий (??), 17:14, 26/02/2009 [ответить]  
  • +/
    jail уже держит несколько ip
     
     
  • 2.6, cvsup (ok), 01:12, 27/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    Появится это правда лишь в 7.2.
     

  • 1.7, просто инфо (?), 11:56, 27/02/2009 [ответить]  
  • +/
    Вероятно автор забыл указать что "вырванный" кусок из пф конфига отвечает лишь за то что сам виртуальный сервер имел доступ к локальной сетке, а локальная сетка имеет доступ к нему через общее правило нат. В любом случае оригинальное решение. Вероятно если не стоят правила кип-стейт, программы что получают ответы вешаються.
     
  • 1.8, PavelR (??), 08:20, 01/03/2009 [ответить]  
  • +/
    А что, обычная маршрутизация по реальному айпи Jail-окружения из локалки и обратно не работает ?
     
  • 1.9, fox (??), 23:37, 22/09/2009 [ответить]  
  • +/
    Люди добрые, а как сделать больше одного IP для jail уже во FreeBSD 7.2 ?????
     
  • 1.10, sekrett (?), 13:41, 30/05/2016 [ответить]  
  • +/
    Тут не совсем правильный перевод с английского. Реализация хорошая, но для другой задачи. Речь идет о том, как на одном IP адресе запустить несколько джайлов, а не как несколько IP адресов прикрепить к одному джайлу. Автор писал о том, что у него в джайлах крутятся mysql, dns, почта. Видимо ему достаточно перенаправить порты для всех этих служб, а из инета все доступно с одного IP адреса. Я именно так и делаю, супер статья, но немного не дописана.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру