[Gelöst]Jails: ifconfig und pfctl -F all

m4rkus

Well-Known Member
Hallo,

ich experimentiere aktuell mit Jails herum und hab da direkt mal zwei Fragen, die sich jeweils auf den Benutzer root innerhalb des / der Jail beziehen.

Führe ich ein ifconfig aus, werden alle Host-Interface angezeigt, obwohl ich über ezjail-admin / ip-Alias auf lo0 nur lo0 benötige. Ist das zwingend so? Kann ich irgendwie erreichen, dass innerhalb des Jails nur lo0 auftaucht? Konfigurieren kann ich bge0 o.ä. nicht, da fehlen die Rechte.

Ich haben nur eine externe Adresse, arbeite also mittels nat / rdr - Regeln um mit der / dem Jail zu kommunizieren. Als root kann ich jedoch innerhalb der Jail ein "pfctl -F all" ausführen und alle Regeln sind weg? Kann ich das verhindern - ich wollte eine restriktive Hostfirewall, die nicht aus einem Container heraus gesteuert werden kann.

Gruß
Markus
 
Code:
devfs_load_rulesets="YES"
in der rc.conf damit auch die devies versteckt werden.
Wahrscheinlich hat die jail noch zugriff auf /dev/pf.
 
Hallo,

das wars. Wichtig: Neustart von devfs.
Code:
service devfs restart


Interfaces sind immer noch sichtbar, pf ist aber gesperrt...

Gruß
Markus
 
Zurück
Oben