Jails ohne eigene öffnetliche IP

[mark-use]

Wie sieht das denn bei Jails aus wenn ich keine feste IP nach drausen habe?

Problemstellung ist dass ich gerne DB, Mail, Web auf drei Jails verteilen will, aber nur eine feste IP nach drausen uebrig habe.

Theoretisch muss es ja möglich sein dern jails ne interne IP zu geben und auf dem Hostsystem dann Ports dorthin umzulegen.

Wie sieht das mit der Konfiguration aus dann? Sollte doch pf alles machen.

rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web port 3306 -> $ip_db
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web port 51022 -> $ip_db port 22

rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web port 25 -> $ip_mx
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web port 465 -> $ip_mx
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web port 993 -> $ip_mx
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web port 52022 -> $ip_mx port 22


rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web 21 -> $ip_honeypot
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web 22 -> $ip_honeypot
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web 23 -> $ip_honeypot
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web 139 -> $ip_honeypot
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web 5800 -> $ip_honeypot
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web 5900 -> $ip_honeypot

rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web port 50022-> $ip_web port 22
rdr log pass on $ext_if proto tcp from any to $ip_db_mail_web -> $ip_web

Wie ist das hier mit den keep-state und UDP-Verbindungen, wie wuerde das obige Beispiel in der Realität aussehen?

 

[MrMarv]

Hi!

Hast du das im Wiki schon gesehen?
http://wiki.bsdforen.de/howto/ezjail?s=ezjail#nur_interne_ips

[...]
Wie ist das hier mit den keep-state und UDP-Verbindungen, wie wuerde das obige Beispiel in der Realität aussehen?

Seit einiger Zeit wird in pf automatisch das keep-state flag angenommen, auch wenn du es nicht explizit hinschreibt.
UDP Pakete sollten auch weiter geleitet werden, zumindest alle die auf den entsprechenden Ports aufschlagen.

Vielleicht hab ich deine Frage einfach nicht verstanden, aber was meinst du mit "in der Realität aussehen"?

Grüße!