crotchmaster
happy BSD user
Ein Hallo in die Runde!
Vorweg muss ich sagen, dass ich in Sachen IPv6 ein noob bin, speziell das routing finde ich doch etwas undurchsichtig.
Die ganzen Dienste, die es diesbezüglich gibt und auch dass das Gateway außerhalb des Subnetzes liegen kann, vereinfachen die Materie nicht gerade.
Ich habe einen Server mit FreeBSD 11.0 laufen, auf dem 5 Jails rennen. Der Server hat zwei öffentliche IPv4 Adressen und
eine Menge IPv6 Adressen. Ich habe vom Provider einen Netzbereich mit der prefixlen 96 bekommen (2001:1b60:aaaa:bbbb:cccc:101::/96).
Die Jails verwalte ich mit ezjail und sie haben die Interfaces lo1 bis lo5 mit den IP-Adressen 127.0.1.1 bis 127.0.5.1.
Eingehende Verbindungen werden per rdr in die Jails umgeleitet, während ausgehende Verbindungen per nat raus gehen.
Das funktioniert soweit.
Auf dem Host habe ich IPv6 wie folgt eingerichtet:
/etc/rc.conf
Ich kann vom Host mittels ping6 andere Hosts anpingen.
Eine ezjail config sieht so aus:
/usr/local/etc/ezjail/webserver1
Vom Host kann ich die IPv6-Adresse des Jails anpingen und umgekehrt, allerdings kann ich vom Jail aus keine externen Hosts anfingen, weder mit aktiviertem noch mit deaktiviertem pf. Auch das Pingen auf die Jail IPv6-Adresse von außerhalb schlägt fehl.
Meine IPv6 Regeln in der /etc/pf.conf sehen zur Zeit so aus.
Ich hoffe, ich könnt mit den Infos etwas anfangen. Wenn nicht, liefere ich weitere Infos nach.
Ich freue mich auf Euere Antworten. Vielen Dank schon mal für das Lesen.
Vorweg muss ich sagen, dass ich in Sachen IPv6 ein noob bin, speziell das routing finde ich doch etwas undurchsichtig.
Die ganzen Dienste, die es diesbezüglich gibt und auch dass das Gateway außerhalb des Subnetzes liegen kann, vereinfachen die Materie nicht gerade.
Ich habe einen Server mit FreeBSD 11.0 laufen, auf dem 5 Jails rennen. Der Server hat zwei öffentliche IPv4 Adressen und
eine Menge IPv6 Adressen. Ich habe vom Provider einen Netzbereich mit der prefixlen 96 bekommen (2001:1b60:aaaa:bbbb:cccc:101::/96).
Die Jails verwalte ich mit ezjail und sie haben die Interfaces lo1 bis lo5 mit den IP-Adressen 127.0.1.1 bis 127.0.5.1.
Eingehende Verbindungen werden per rdr in die Jails umgeleitet, während ausgehende Verbindungen per nat raus gehen.
Das funktioniert soweit.
Auf dem Host habe ich IPv6 wie folgt eingerichtet:
/etc/rc.conf
Code:
ipv6_default_interface="em0"
ifconfig_em0_ipv6="inet6 2001:1b60:aaaa:bbbb:cccc:101::1 prefixlen 64"
ipv6_defaultrouter="fe80::225:90ff:fe34:52e7%em0"
Ich kann vom Host mittels ping6 andere Hosts anpingen.
Eine ezjail config sieht so aus:
/usr/local/etc/ezjail/webserver1
Code:
export jail_webserver1_hostname="webserver1"
export jail_webserver1_ip="lo1|127.0.1.1,lo1|2001:1b60:aaaa:bbbb:cccc:101:1:1"
export jail_webserver1_rootdir="/jails/webserver1"
export jail_webserver1_exec_start="/bin/sh /etc/rc"
export jail_webserver1_exec_stop=""
export jail_webserver1_mount_enable="YES"
export jail_webserver1_devfs_enable="YES"
export jail_webserver1_devfs_ruleset="devfsrules_jail"
export jail_webserver1_procfs_enable="YES"
export jail_webserver1_fdescfs_enable="YES"
export jail_webserver1_image=""
export jail_webserver1_imagetype="zfs"
export jail_webserver1_attachparams=""
export jail_webserver1_attachblocking=""
export jail_webserver1_forceblocking=""
export jail_webserver1_zfs_datasets=""
export jail_webserver1_cpuset=""
export jail_webserver1_fib=""
export jail_webserver1_parentzfs="zroot/jails"
export jail_webserver1_parameters=""
export jail_webserver1_post_start_script=""
export jail_webserver1_retention_policy=""
Vom Host kann ich die IPv6-Adresse des Jails anpingen und umgekehrt, allerdings kann ich vom Jail aus keine externen Hosts anfingen, weder mit aktiviertem noch mit deaktiviertem pf. Auch das Pingen auf die Jail IPv6-Adresse von außerhalb schlägt fehl.
Meine IPv6 Regeln in der /etc/pf.conf sehen zur Zeit so aus.
Code:
extIf="em0"
jailIpv6="{ 2001:1b60:aaaa:bbbb:cccc:101::1/96 }"
scrub in all
antispoof for { $extIf }
block in log all
pass in quick inet6 proto icmp6 from any to any
pass out on $extIf inet6 proto { tcp, udp, icmp6 } from any to any
Ich hoffe, ich könnt mit den Infos etwas anfangen. Wenn nicht, liefere ich weitere Infos nach.
Ich freue mich auf Euere Antworten. Vielen Dank schon mal für das Lesen.