jail: nur 1 IP verbrauchen ("name based")
- Ersteller mike
- Erstellt am
Hmm ..., es kann sein, dass vom jail-Interface (öffentliche IP-Adresse) nicht auf die IP-Adressen der jail (Alias) geroutet wird. Bei mir hat nur der Router eine öffentliche IP-Adresse und das Jail-Interface ist im gleichen Netz wie die Jails-IPs (Aliase).
Vielleicht brauchst Du noch eine statische Route in der rc.conf des host, damit in das Subnetz der Aliase geroutet wird:
Vielleicht brauchst Du noch eine statische Route in der rc.conf des host, damit in das Subnetz der Aliase geroutet wird:
Bummibaer
Registered Schwarzbär
Hoi,
also ich würde auf dem physikalischen Interface oifach zwei virtuelle Interface machen, wobei das erste virtuelle Interface für extern und das zweite mit Alias für intern ist.
Danach kannst Du das mit dem Routing und mit dem Forwarding in der Firewall Konfiguration gescheit eintragen - dann sollte das auch gut tun. (NAT nicht vergessen, is klar)
Solange das nur ein Interface ist läuft das nicht wirklich optimalst bzw. man würgt sich mit den Rules en Wolf. Bei Zwei Interface (au wenn se nur virtuell sans) geht das wesentlich stressfreier. Es wäre auch einfacher wenn Du statt 192er einfach auf 127er gehst, das geht in der Praxis in so einem Fall besser und auch routingmäßig einfacher.
Eine Default Route braucht bei dem Fall nur der Mainhost - die Jails hingegen nicht. Wenn der Mainhost keine feste IP hat, sich quasi einwählt, sollte das Firewall Script zwei mal vorhanden sein. 1.) für Host ohne bestehende Verbindung - 2.) für Host mit Einwahl die besteht. Das ganze dann über die vorgesehenen Scripts steuern, dass die jeweiligen Rules pro Fall auch sauber greifen.
Gruß Bummibaer
also ich würde auf dem physikalischen Interface oifach zwei virtuelle Interface machen, wobei das erste virtuelle Interface für extern und das zweite mit Alias für intern ist.
Danach kannst Du das mit dem Routing und mit dem Forwarding in der Firewall Konfiguration gescheit eintragen - dann sollte das auch gut tun. (NAT nicht vergessen, is klar)
Solange das nur ein Interface ist läuft das nicht wirklich optimalst bzw. man würgt sich mit den Rules en Wolf. Bei Zwei Interface (au wenn se nur virtuell sans) geht das wesentlich stressfreier. Es wäre auch einfacher wenn Du statt 192er einfach auf 127er gehst, das geht in der Praxis in so einem Fall besser und auch routingmäßig einfacher.
Eine Default Route braucht bei dem Fall nur der Mainhost - die Jails hingegen nicht. Wenn der Mainhost keine feste IP hat, sich quasi einwählt, sollte das Firewall Script zwei mal vorhanden sein. 1.) für Host ohne bestehende Verbindung - 2.) für Host mit Einwahl die besteht. Das ganze dann über die vorgesehenen Scripts steuern, dass die jeweiligen Rules pro Fall auch sauber greifen.
Gruß Bummibaer