Jail und pf-Regeln

[BrainPain]

Hallo Leute,

wie bereits in einem anderen Thread gepostet habe ich Probleme Packages mittels pkg_add -r in eine Jail einzuspielen. DNS in der Jail funktioniert und wurde mittels traceroute www.google.de verifiziert. NAT dürfte auch funktionieren da sonst DNS sicherlich nicht gehen würde. pkg_add -r liefert unterschiedliche Fehlermeldungen wie "File unavailable", "Can't open data connection" oder "Operation timed out".
PF auf dem Hostsystem lässt bisher nur ssh durch. Welche/n Port/s müsste ich denn für pkg_add öffnen? Muss ich dass überhaupt, denn pkg_add -r auf dem Hostsystem funktioniert.

Viele Grüße

 

[Benedikt]

Schau mal hier:

http://www.serverzeit.de/FreeBSD/Firewall/pf-Gateway-fur-Jails/

und

http://www.serverzeit.de/FreeBSD/Jails-mit-EzJail/Jails-anlegen-und-starten/

Wenn du da die Einstellungen überprüfst, vielleicht findest du den Fehler.
Viel Erfolg.

 

[BrainPain]

Vielen Dank Benedikt.

Ich habe nun übrigens testweise mal eine Jail mit einer echten IP aufgesetzt und diese kann komischerweise mittels pkg_add -r Pakete installieren. Dann werd ich jetzt mal deine Links durcharbeiten.

Viele Grüße

 

[BrainPain]

Mal eine andere Frage. Ich habe nun wie gesagt eine Jail mit einer öffentlichen IP erstellt. In dieser habe ich als defaultrouter den gateway vom provider eingetragen und die jail kann wie bereits gesagt per pkg_add -r packages ziehen. Aber ich komme nicht per ssh auf die jail. Da ich eine öffentliche IP verwende brauche ich doch auch kein NAT im pf des hostsystems machen, oder? Den SSH-Port habe ich in der rc.conf der Jail gesetzt und die IP habe ich in der /etc/ssh/sshd_config gesetzt. Ich habe es mit und ohne inetd versucht beides ohne Erfolg. pftop des Hostsystems zeigt mir auch die eingehende Verbindung an. Und mit ausgeschaltetem pf funktioniert es auch nicht. Weis jemand was fehlen könnte?

Viele Grüße

[EDIT]
Fehlermeldung:
ssh_exchange_identification: connection closed by remote host
[/EDIT]

 

[BrainPain]

hmm... ich hab jetzt mal in der jail geschaut ob der ssh-deamon überhaupt läuft, und irgendwie läuft er nicht:

serv# /etc/rc.d/sshd status
sshd is not running.
serv# /etc/rc.d/sshd start
serv# /etc/rc.d/sshd status
sshd is not running.

Ich werd noch irre, kann doch nicht so schwer sein oder?

[EDIT]
Okay ich habs jetzt gefunden, und zwar ist der Ganze ssh-Kram in der Jail nicht vorhanden. Wie bekomme ich nun den ssh-deamon standardmäßig in meine Jails die ich mit ezjail erstelle?
[/EDIT]

Viele Grüße

 

[Benedikt]

Es gibt nen Ordner "newjails", da kannst du ne Standard-rc.conf anlegen, die du aber dann nach dem Erstellen der Jail noch anpassen musst (IP-Adresse etc).

Ansonsten hilft dir die Manpage von ezjail. Findest du auch auf der Website.

 

[BrainPain]

Okay jetzt läuft es wirklich.
Ich hab einfach alle Jails weggeschmissen und auch den /usr/jails ordner gelöscht, weil selbst in der basejail kein sshd vorhanden war. dann habe ich die /etc/make.conf gelöscht und nochmal ezjail-admin update aufgerufen. und nun habe ich eine jail erstellt und komme problemlos mit ssh drauf.

Viele Grüße & Vielen Dank an alle

[EDIT]
Brauch ich in der Jail eigentlich pf wenn die Jail mit öffentlicher IP betrieben wird, oder reicht pf auf dem Host?
[/EDIT]

 

[soul_rebel]

[EDIT]
Brauch ich in der Jail eigentlich pf wenn die Jail mit öffentlicher IP betrieben wird, oder reicht pf auf dem Host?
[/EDIT]

pf in der jail geht garnicht bzw. noch nicht. an network stack virtualisierung wird gearbeitet, aber im moment geht das nicht (im jail läuft ja keine extra kernel).

 

[BrainPain]

Na dann spielt es sowieso keine Rolle, danke.

Viele Grüße