SSH von einem Jail

[Mardor]

Hallo,

ich habe mit ezjail ein Jail eingerichtet und möchte mit diesem eine einfache Verbindung per SSH auf einen Server aufbauen.

Ich schaffe es noch das Passwort einzugeben bevor die Verbindung gekickt wird (Nach 0,5 bis 2 Sekunden):

Linux xxxxx 2.6.18-6-686 #1 SMP Fri Feb 19 23:40:03 UTC 2010 i686
Last login: Fri Mar 28 21:12:34 2014 from xxxxxxxxxxx.dip0.t-ipconnect.de
xxxxx@xxxxxxxx:~$ Write failed: Broken pipe

Baue ich die Verbindung vom gleichen System ohne jail auf ist alles in Ordnung.

Für ezjail habe ich die Anleitung http://www.bsdnow.tv/tutorials/jails genutzt.

Hat jemand eine Idee

Gruß Mardor

 

[nakal]

Benutzt Du einen Paketfilter?

 

[Mardor]

Ja, ich benutze PF.

## Definition

IF="em0"

IP_PUB="xxx.xxx.x.37"
IP_JAIL1=xxx.xxx.x.xxx
NET_JAIL="xxx.xxx.x.0/24"

NET_DMZ="xxx.xxx.x.0/24"

set block-policy drop
set skip on lo0

scrub in all

nat pass on $IF from $NET_JAIL to any -> $IP_PUB
rdr pass on $IF proto tcp from $NET_DMZ to $IP_PUB port 80 -> $IP_JAIL1

block in log all

pass in log on $IF inet proto tcp to $IP_PUB port 22
pass out on $IF inet proto {tcp,udp,icmp} all keep state

 

[bsd4me]

Das Problem ist tatsächlich vorhanden, unter 9.2 hatte ich es nicht. Ist doof, da ich die Server gerade mit FreeBSD 10.0 bestückt habe und jails nutze.

Siehe auch hier:
https://forums.freebsd.org/viewtopic.php?f=44&t=44666

es gibt dazu auch einen pr...

Wenn statt über Ports direkt per IP "gerootet" wird (d.h. das ethernet interface mehrere für IP konfiguriert ist), sollte das kein Problem sein... Jede Jail bekommt dann eine IP. Dann brauchst Du die pf.conf nicht. Ich werde das wohl oder übel dann so machen. Muss im Rechenzentrm dazu halt virtuelle IP vergeben lassen.

Viele Grüße, Norbert

 

[Mardor]

Hallo bsd4me,

vielen Dank für den Tipp und die Info.

Eigentlich benutze ich versch. IP Adressen:

inet 192.168.1.101 netmask 0xffffff00 broadcast 192.168.1.255
inet 192.168.5.37 netmask 0xffffff00 broadcast 192.168.5.255
inet 192.168.1.102 netmask 0xffffff00 broadcast 192.168.1.255

Davon sind die IP Adressen im 192.168.1.0/24 Netz die IP Adressen des Jails.

Eine weitere Frage, gibt es hier schon einen Bug (oder wo würde man solche Bugs melden) ?

Gruß Mardor

 

[bsd4me]

komisch, das hätte ich jetzt nicht erwartet, denn ich denke das in jail.conf Sachen wie etwa

test {
host.hostname = "test";
interface = "em0";
ip4.addr = "192.168.1.101";
}

sang-und-klanglos gehen würden, denn dann würde pf.conf nicht benötigt werden :-)

 

[bsd4me]

Da gibt es einen problem report:

"pf don't work as expected in 10.0 with same configuration used on 9.1"
http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/186385

Hat das damit zu tun?

VG Norbert