jail: nur 1 IP verbrauchen ("name based")

mike

mike

Well-Known Member
Hi!
Es ist zwar ne dumme Frage - aber vielleicht kennt ja jemand einen Trick wie man das Problem lösen könnte ;)

Ich habe eine IP. Auf diese IP ist eine Domain registriert. Nun habe ich am Hostsystem apache & Co am Rennen und möchte in einem jail cvs/pserver laufen lassen.
Nun mein Problem: Ich habe nur 1 IP und darf mir im RZ keine 2te "nehmen". Ist es möglich zu sagen XXX.org ist das Hostsystem und cvs.XXX.org ist das jail?
Also mein Ansatz wäre NAT gewesen - aber kann ich da im jail auch per ssh einloggen? Kann man das durchs Hostsystem durchtunneln?

Danke im Voraus!!
mfg
 
Du kannst seeehr viele Jails über localhost anlegen.
Da hast Du nämlich ein komplettes A-Netz: 127.0.0.0/255.0.0.0

Dein Freund heißt hier NAT.

Gruss...

Der Indy
 
Man bin ich doof :rolleyes:
Funktioniert danke.
2 kleine Fragen hätte ich noch:
# Weiß jemand ob jexec unter 4.10 verfügbar ist? Ist es möglich jexec als non root aufzurufen?
# Wenn nein - wie kann man diesen Befehl am Besten "imitieren"?

Danke nochmals,
mfg
 
The jexec utility was added in FreeBSD 5.1.
da 5.1 vor 4.10 ist, nehme ich an es müsste da sein
 
indy schrieb:
Du kannst seeehr viele Jails über localhost anlegen.
Da hast Du nämlich ein komplettes A-Netz: 127.0.0.0/255.0.0.0

Dein Freund heißt hier NAT.

Gruss...

Der Indy
Zum Vergrößern anklicken....

habe das vor ner weile auch mal probiert so. mein problem war nur das ich dann in den jails kein netzzugang hatte. wie macht man das dann mit nat? oder brauche ich da dann eine gateway/bridge einstellung? :confused:
 
Hi!
Also ich habs aufgegeben. Es ist echt besser, wenn man sich nen Namserver/Router bastelt und mit jail.domain.com die einzelnen jails anspricht.

mfg
PS: Das heißt nicht, dass es mit NAT nicht geht - keine Ahung :)
 
Das mit dem Internetzugang funktioniert auch wunderbar. Bei der Jail muss man einfach den Port ändern.
Bei SSH also bsw. 2222 anstatt 22. Dann kann man mit xxx.xxx.xxx.xxx:2222 sich in der Jail anmelden. Natürlich muss man das in der NAT dann auch angeben...

gruss
 
Zuletzt bearbeitet:
127.0.0.1 ist loopback. Eine Jail kennt keine loopback Adresse, und hat nur eine IP, die die Du der Jail gibst.
Um Dienste die in einer Jail laufen anzusprechen musst Du NAT auf dem Hostsystem aktivieren und die entsprechenden Ports auf die der Jail IP leiten und darauf achten das keine Dienste auf dem Hostsystem auf diese Ports hören.
Sollte alles im Dokument stehen.
 
asg schrieb:
127.0.0.1 ist loopback. Eine Jail kennt keine loopback Adresse, und hat nur eine IP, die die Du der Jail gibst.
Um Dienste die in einer Jail laufen anzusprechen musst Du NAT auf dem Hostsystem aktivieren und die entsprechenden Ports auf die der Jail IP leiten und darauf achten das keine Dienste auf dem Hostsystem auf diese Ports hören.
Sollte alles im Dokument stehen.
Zum Vergrößern anklicken....

also ich habe die jail auf 127.0.0.2 laufen. ist das möglich? weil ich keine weitere ip als eine nach aussen nutzen will.
die dienste und so hab ich wie in der pdf beschrieben eingestellt. ich kann die jail auch problemlos starten und mich per "ssh 127.0.0.2" zu ihr verbinden.
das problem ist nur: von innerhalb der jail hab ich keinen zugriff auf internet oder netzwerk.... oO
 
> das problem ist nur: von innerhalb der jail hab ich keinen zugriff auf internet oder netzwerk....
Das Problem hatte ich auch mal, das hängt damit zusammen, daß das Netz 127.0.0.0/8 anders geroutet wird.

Ich weiß aber nimmer, wie ich das dann damals gemacht habe, auf jeden Fall ging's irgendwann *smirk*

Kannst Du die 127.0.0.1 anpingen?
Was ist das Gateway im Jail?

Der Indy
 
ping ist im jail ja nicht erlaubt... :/

127.0.0.1 kann ich erreichen. ist aber leider das jail selber und nicht das hostsystem. habe auf dem hostsystem dann auch noch 127.0.0.2 und 127.0.0.3. diese anderen kann ich erreichen. vielleicht brauch ich ein weiteres alias als gateway oder sowas?

gateway ist momentan keiner gesetzt, werd ich gleich mal machen...... :cool:
 
Warum denn eigentlich 127.0.0.x? Muss man das verstehen?
Warum denn nicht klassisch 192.168.0.x? Dann dem Hostsystem die 192.168.0.254 geben, der Jail die 192.168.0.1. Als gateway in der Jail die 192,168.0.254 angeben, gut ist.
 
Es ging ursprünglich darum, daß nur eine IP vorhanden ist aber jeder Jail eine braucht.
Auf 127.0.0.0 hat man ein schönes großes A-Netz direkt und immer zur Verfügung.

Gruss...

Der Indy
 
asg schrieb:
Warum denn eigentlich 127.0.0.x? Muss man das verstehen?
Warum denn nicht klassisch 192.168.0.x? Dann dem Hostsystem die 192.168.0.254 geben, der Jail die 192.168.0.1. Als gateway in der Jail die 192,168.0.254 angeben, gut ist.
Zum Vergrößern anklicken....

genau wie indy sagt. in dem beispiel wären 192.168.0.254 und 192.168.0.1 von aussen erreichbar. genau das möchte/muss ich vermeiden.
 
Wo von aussen?
Aus dem internen Netz? Dann nimm andere IPs und block alles mit einer Firewall.
 
von den anderen rechnern im selben rack. das ganze soll in ein rechenzentrum. .hab vom provider halt nur die eine öffentliche ip bekommen..... :apaul: kann ich dann auch einfach nen anderen ip bereich nehmen? und wenn ich die jails dann auf... sagen wir... 192.168.55.x laufen lasse....

wie blocke ich die dann per firewall? das problem ist, das der pc garnicht reagieren dürfte dabei... also auch garnicht erst packete annehmen oder nicht?
weil andere freebsd server dort ja auch auf die idee kommen könnte... dann würden sich die ips ja überschneiden. deswegen dachte ich interne ips wären die lösung.


so habs grad mit gateway auf 127.0.0.2 (alias ohne jail) versucht und das in der jail eingetragen. scheint nicht zu funktionieren
 
so bin immernoch am basteln. hab jetzt vor (nachdem das mit 127... irgendwie nicht geht) zusätzlich zu meiner festen ip 80.x.x.x aus dem rechenzentrum jails auf 192.168.x.x anzulegen. ich habe das hier mal getestet.

der host läuft jetzt hier auf 192.168.55.20, router auf 192.168.55.2
um zu "simulieren" das die jails ja dann in einem anderen subnet lägen, habe ich sie auf 192.168.0.x angelegt. nun hab ich aber wieder kein zugang zum netz aus der jail.

scheinbar kann man von einer jail nur ins internet wenn man im selben subnet wie der hostpc ist oO

irgendwie is das mit den jails alles komplizierter als ich dachte :eek: :ugly:
 
Das mit den Jails ist einfach.
Warum denn nicht einfach erstmal 192.168.0.254 auf dem hostsystem vergeben. In der Jail dann die 192.168.0.1, und als GW dort die 192.168.0.254. Hostsystem muss als GW konfiguriert sein. Wenn das geht, dann kannst Dir überlegen was Du noch machen kannst, mittels birdging oder sonstwie.
Dann sperre mittels einer FW alle Zugriffe auf die internen IPs und lasse nur die vergebenen zu. Mittels natd leitest Du dir Ports von extern auf die interne IP der jail um. Gut ist.
 
asg schrieb:
Das mit den Jails ist einfach.
Warum denn nicht einfach erstmal 192.168.0.254 auf dem hostsystem vergeben. In der Jail dann die 192.168.0.1, und als GW dort die 192.168.0.254. Hostsystem muss als GW konfiguriert sein. Wenn das geht, dann kannst Dir überlegen was Du noch machen kannst, mittels birdging oder sonstwie.
Dann sperre mittels einer FW alle Zugriffe auf die internen IPs und lasse nur die vergebenen zu. Mittels natd leitest Du dir Ports von extern auf die interne IP der jail um. Gut ist.
Zum Vergrößern anklicken....

so geht es ja. wenn ich die jails auch auf 192.168.55.x laufen lassen klappen sie ja problemlos. nur sobald die jails in einem anderen subnet liegen als der host klappt es nicht mehr. genau das szenario wird aber auftreten wenn ich das auf nem server im rz mache.

die jail hat ja als netzmaske 255.255.255.255 kann also rechner aus einem anderen subnet nicht erreichen. deswegen auch den host nicht um von da aus ins inet zu kommen. ich bräuchte also wohl eine funktion die von dem jailsubnet auf das aussensubnet bridged.... nur wie?
 
so hab das problem gelöst *aufatme* die lösung ist die vergebenen adresse per ipnat auf die aussenadresse zu mappen. :rolleyes: auf jeden fall geht das netz jetzt von jail nach aussen und von aussen nach jail. :cool:
 
Zuletzt bearbeitet:
ähm, ich hab das letzt jetzt nich verstanden :(

host hat die ip 192.168.1.111/24 und 192.168.100.1/24
jail1 hat die ip 192.168.100.1/32

host hat als gateway die 192.168.1.1 (firewall)
jail1 als gateway die 192.168.100.1

ich komm aber aus dem jail nich raus.
wichtig ist halt das der host nur eine netzwerkkarte und eine andere ip-zone haben muss als die jails. kann mich mal einer schlauer machen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben