jails und pf: Kurze Verständnisfrage

Errorsmith

Errorsmith

Kompiliertier
Moin

ich ändere gerade die pf-Konfiguration in meinem Router und habe da eine kurze Frage:

Wenn ich auf dem Gerät eine jail eingerichtet habe, auf welchem Interface läuft dann der Verkehr ab?
also: interface ist em1 mit der IP 192.168.20.1, die jail hat ein alias auf dieser NIC mit der IP 192.168.20.10. Wenn ich versuche das zu filtern, passiert nichts weiter. tcpdump -i em0 zeigt mir auch nichts weiter an was diese jail betrifft. Auf welchem Interfache muss ich also suchen? lo0 ist es ebenfalls nicht (war mein erster Gedanke)

Grüße,
errorsmith
 
Moin,

ich habe hier eine FreeBSD-Kiste mit verschiedenen Jails. Da ich hier zwei DSL-Anschlüsse habe, und der Traffic einer Jail über den ADSL-Anschluss raus soll, habe ich das ganze über pf getrennt. Ich denke im großen und ganzen passt das mit deinem Szenario, ja?

ich habe in der pf.conf nicht nach dem Interface gefiltert, da bei mir die Jails ebenfalls ein Alias auf der Netzwerkkarte haben, sondern nach der IP selbst.

Vielleicht hilft dir das weiter?

Gruß
 
Moin!

Ein wenig, ja.
Ich beschreibe mal mein Szenario etwas genauer, ich war gestern etwas in Eile.

Die Leitung hier ist leider nicht so dick, wir haben nur ein 3000er DSL bekommen. Trotzdem müssen wir teilweise von draussen auf das interne Netz zugreifen, hauptsächlich IMAP und SSH, seltener http (Groupware).

Um die Leitung besser nutzen zu könnnen, möchte ich ALTQ einsetzen (ACK Priorisierung, QoS etc.). Dabei bin ich darauf gestoßen, daß der Verkehr von&zu den jails nicht in die queues einsortiert wird und scheinbar an PF vorbei läuft.

Wenn ich nur nach der IP filtere funktioniert es scheinbar (muss ich noch näher testen), dennoch würde ich gern wissen wo und warum der Verkehr der jails an den normalen Interfaces vorbei läuft.

Grüße,
errorsmith
 
Hi

Ich habe "skip on lo0" in der pf.conf, aber die Aliase liegen auf em1.
Ich werde nachher mal "skip" rausnehmen und testen.

Grüße,
errorsmith
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben