ezjail / pf / nat

ari

ari

Well-Known Member
Leidiges Thema: Jails und pf. Weil ich in naher Zukunft meinen Server auf FreeBSD umziehen moechte dachte ich mir, dass Jails einzusetzen keine schlechte Idee waere. Also altes Notebook hergenommen, aufgesetzt und losgelegt.
  • Hostmaschine mit der IPv4-Adresse 192.168.0.24/24
  • Jail mit der IPv4-Adresse 10.0.0.11/30

Jetzt ist es leider so, dass ich weder aus der Jail rauspingen kann noch sonstige Konnektivitaet habe. Und ich verstehe nicht ganz, warum dem so ist. Die relevanten Teile der /etc/rc.conf der Hostmaschine:
Code: 
ifconfig_ae0="inet 192.168.0.24 netmask 255.255.255.0"
ifconfig_ae0_alias0="10.0.0.10/32"
ifconfig_ae0_alias1="10.0.0.11/32"
defaultrouter="192.168.0.100"
gateway_enable="YES"

pf_enable="YES"
pf_rules="/etc/pf.conf"
ezjail_enable="YES"
syslogd_flags="-ss -a 127.0.0.1 -C"

Die /etc/pf.conf sieht auf der Hostmaschine wie folgt aus:
Code: 
ext_if="ae0"
external_address="192.168.0.24"

nat on $ext_if from 10.0.0.11 to any -> ($ext_if)
In der Jail gibt es keine. Die /etc/resolv.conf sowohl in der Jail als auch am Host beinhaltet die beiden Nameserver von Google. Um Pings zu erlauben habe ich:
Code: 
sysctl security.jail.allow_raw_sockets=1
gesetzt, auch in der /etc/sysctl.conf der Hostmaschine. (Forwarding ist ebenfalls aktiviert.)

Ein ifconfig in der Jail sagt:
Code: 
ae0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82018<VLAN_MTU,VLAN_HWTAGGING,WOL_MAGIC,LINKSTATE>
        ether 00:1e:8c:41:f7:ad
        inet 10.0.0.11 netmask 0xffffffff broadcast 10.0.0.11
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
Versuche ich aus der Jail zu pingen kommt:
Code: 
root@jail:/ # ping 8.8.8.8
ping: socket: Operation not permitted
(Was ja eigentlich aufgrund der sysctl.conf nicht passieren duerfte..) Versuche ich pkg zu bootstrappen timed er mir aus:
Code: 
root@jail:/ # pkg
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg please wait
_http._tcp.pkg.FreeBSD.org
Namensaufloesung geht hingegen wieder:
Code: 
root@mail:/ # dig @8.8.8.8 bsdforen.de

; <<>> DiG 9.8.4-P2 <<>> @8.8.8.8 bsdforen.de
; (1 server found)
.. etc

Wenn wenigstens gar nichts gehen wuerde koennte ich mir sicher sein, dass ich irgendeinen Fuckup in den pf-Regeln habe, aber so bin ich nach einiger Zeit des Probierens nur mehr verwirrt. Ich bin mir sicher, dass es wieder irgendeine Kleinigkeit ist. Danke! :)
 
Hoi,

export jail_example_brumm_net_parameters="allow.raw_sockets=1 allow.sysvipc=1"

dann den ezjail mist neu starten und dann sollte das gehen.

Gruß Bummibär
 
Jepp. Denn leider nur im Kleingedruckten mitgeteilt wurden die bisherigen Sysctl für erweiterte Rechte im Jail mit 8.4 bzw. 9.2 zu Attributen. Damit können sie pro Jail geschaltet werden und müssen nicht mehr global gesetzt werden.
 
Code: 
export jail_example_brumm_net_parameters="allow.raw_sockets=1 allow.sysvipc=1"
Hab' ich jetzt so in der /usr/local/etc/ezjail/jail stehen - ezjail neugestartet, aber leider ohne Erfolg. Da tut sich immer noch nichts.
 
Hoi,

jail_example_brumm_net_.... war natürlich ein Beispiel und muss zwingend entsprechend angepasst werden (der Teil mit example_brumm_).

ezjail mist:
für meinen Geschmack werde ich damit "einfach nicht warm" mit ezjails. Ich bevorzuge daher jail(8) Jails.

Gruß Bummibär
 
Ah, haette ich vielleicht dazuschreiben sollen - hab' ich natuerlich nicht so in der Konfiguration stehen, example_brumm habe ich mit meinem Jailnamen getauscht. :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben