Jail & mehrere IPs

ixbsd

Member
Hallo Zusammen,
leider konnte ich nichts finden, ob man mittlerweile (FreeBSD6) einer Jail mehrere IPs zuweisen kann!? Sollte es noch nicht möglich sein, würde mich das sehr wundern, da viele Benutzer von FreeBSD diese Möglichkeit teils schmerzlich vermissen.

Vielen Dank & Grüße, ixbsd
 
Hallo,
muss nochmal meine Thread ausgraben. Und zwar wird das "Problem", dass man einer Jail nicht mehrere IPs geben kann, jetzt etwas nervig - zumindest in meinem Fall. Zudem verstehe ich nicht, wieso das nicht schon längst offiziell "gefixt" wurde, da es schon seit Monaten zig Leute gibt, die das auch gerne hätten bzw. bräuchten. Naja, wie dem auch sei. Lösung muss her!

Kurz zu meinem Fall, vielleicht hat Jemand eine Idee:

Für eine Webseite brauche ich zwei SSL Zertifikate (für xyz.de und xyz.com). IPs sind genügend da. Jetzt könnte man ja sagen, dann mach halt einfach zwei Jails und fertig. Jedoch sind die Versionen *fast* identisch und somit müsste ich umständlich per SSH und rsync die Webseiten/Ordner synchronisieren. Nur zur Info zum "fast identsich": Per PHP wird geschaut welche Domain und dementsprechend werden andere Aktionen ausgeführt.

Würde ich keine Jails benutzen wäre das alles überhaupt kein Problem. Nur will ich sie benutzen. Bei meiner Google-Recherche habe ich gelesen, dass es wohl Leute gibt die ähnliche Sachen mit Proxys oder NAT machen. Nur leider habe ich das nicht ganz verstanden.

Hoffe jemand hat einen Hinweis dem ich nachgehen kann.

Viele Grüße, ixbsd
 
Um die gleichen Datenstaende zu haben, koenntest Du auch mount_nullfs benutzen. Das funktioniert stabil, entgegen den Behauptungen der Manpage.
 
Das würde aber bedeuten, dass die Files auf dem Hostsystem liegen müssten!? Oder sehe ich das falsch? Gruß, ixbsd
 
Das Hostsystem kann ja das Verzeichnis vom einen Jail ins andere mounten. Read-only wäre da natürlich empfehlenswert.

Mich würde aber Proxy/NAT-Geschichte interessieren. Hm, mit nem Proxy müsstest Du im Host laufen, um mehrere IPs zu haben. Einen Apachen o.ä. als Proxy am Host ist aber wieder Sicherheitsaspekte-mäßig nicht mein Geschmack. Mit NAT kannst Du mehrere IPs auch auf eine im Jail mappen. Intern wirst Du dann mehrere Apachen auf untersch. Ports horchen lassen müssen, da das Zertifikat ja immer nur zu einer URL passt.

OpenVS hab ich mir ja auf dem LinuxTag angeschaut. Die schaffen nen kompletten Netzwerkstack zu virtualisieren. -> beliebige IPs im "Jail".
 
Ich sehe das Problem nicht, warum nicht einfach ein Zertifikat für beide Domains und fertig?
Dann kannst du über Name-vHost gehen und brauchst keine 2 IPs.
 
Bei SSL ist es etwas schwierig mit den Namensbasierten Vhosts.

Der Requests für den Vhost kommt nach der SSL-Aushandlung. Du musst also vorab ein Zertifikat schicken, welches zu einem Host passt, den Du ja noch garnicht weisst da ihn der Client noch nicht mitgeteilt hat.

Auf de-bsd-questions kommt die Thematik auch immer mal wieder auf.

Verzwickt hier ist ja, das es auch nicht ganz die selbe Site ist die publiziert wird. Sonst könnte man ja wohl eine Site zu ner Weiterleitung umstricken.
 
ixbsd said:
Für eine Webseite brauche ich zwei SSL Zertifikate (für xyz.de und xyz.com)

und wie bekomme ich DAS jetzt mit einem Zertifikat hin? Ich dachte immer der Domainname wird im Zertifikat mit angegeben (yourname oder so). Wenn der nicht übereinstimmt mit der URL gehts auch nicht.

:eek:
 
Hm, ein überaus interessanter Ansatz. Man lernt ja nie aus.

Bevor wir hier aber doch total offtopic werden, würde mich die Anwendbarkeit doch noch interessieren. Hast Du solche Zertifikate schonmal von irgendwem offizielles beglaubigt bekommen? So TrustCenter Dingens. Im Test sind ja einige Browser aufgeführt, scheint grundsätzlich also zumindest unterstützt zu sein. Gibts denn praktische Beispielseiten, mal von den in deinem Link genannten abgesehen!?

So vom Grundsatz scheints mir doch zu sehr nach proof-of-concept auszusehen...
 
Back
Top