Kommunikation zwischen Jails

[Mardor]

Hallo,

anknüpfend zum Thema "Jails rdr einschränken" habe ich eine Frage:

Ich habe eine Public IP Adresse und mehrere Jails. Bei manchen Jails möchte ich die Kommunikation zu anderen Jails unterbinden um beispielsweise beim "ownen" eines Jails den anderen Jail mehr Sicherheit zu geben. Andere Jails sollen miteinander kommunizieren, da ich beispielsweise einen Reverse Proxy NGINX einsetzen um über den TCP Port 80 auf mehrere Webserver in verschiedenen Jails zu redirecten.

Meine aktuellen Versuche haben gezeigt, das die Kommunikation nicht möglich ist. So zeigt beispielsweise ein telnet (TCP 22) von einem jail auf ein anderes Jail (das SSH aktiv hat) keinen SSH Banner.

Gruß Mardor

 

[Rakor]

Dafür wäre wohl erst mal wichtig zu wissen wie du deine Jails mit IPs ausstattest. Aus welchem Segment sind die IPs? Sind es private IPs aus dem selben Segment? Oder hast du gar IPs mehrfach vergeben? Wo hast du evtl was für einen Paketfilter sitzen?

 

[Mardor]

Hallo Rakor,

ich habe IP Adressen im gleichen Subnetz vergeben. Die Adressen sind RFC 1918 Adressen. Jedes Jail hat seine eigene IP.
pf sitzt "nur" auf dem host und regelt das NAT bzgl. der Zugriff zu den Netzen und von den Netzen ins Internet (dies funktioniert auch problemlos).

Grüße Mardor

 

[FreeBSDuser]

sysctl net.inet.ip.forwarding=1 gesetzt?
Läuft ja streng genommen über den Host via dem lo1 Interface.

 

[Binfort]

Der Traffic zwischen den Jails muss in Pf erlaubt sein. Wie hast du die privaten IP Adressen der Jails konfiguriert, lo0_alias oder cloned_interface?