pf auf Jails

Hmm... Wenn du das Modul auf dem Host lädst und das Jail mit einem weitgehend vollständigen /dev bereibst, könnte das vielleicht gehen. Weiß ich nicht genau. Müsste man ausprobieren.

Jetzt fehlt es mir an Ideen....:(

Code:
MppcTestCap: can't create mppc node: Operation not permitted
bind: Address already in use
CONSOLE: Can't listen for connections on 127.0.0.1 5005
[wan] can't create iface node at ".:"->"temphook": Operation not permitted 7
[wan] can't create netgraph interface
mpd.conf:14: Error in 'create bundle static wan': Bundle netgraph initialization failed
mpd.conf:16: Incorrect context for: 'set iface name pppoe0'
mpd.conf:17: Incorrect context for: 'set iface route default'
mpd.conf:18: Incorrect context for: 'set iface disable on-demand'
mpd.conf:19: Incorrect context for: 'set iface idle 0'
mpd.conf:20: Incorrect context for: 'set iface enable tcpmssfix'
mpd.conf:23: Incorrect context for: 'set ipcp ranges 0.0.0.0/0 0.0.0.0/0'
mpd.conf:24: Incorrect context for: 'set ipcp enable req-pri-dns'
mpd.conf:25: Incorrect context for: 'set ipcp enable req-sec-dns'
[wan_link0] [wan_link0] Link: OPEN event
[wan_link0] LCP: Open event
[wan_link0] LCP: state change Initial --> Starting
[wan_link0] LCP: LayerStart
[wan_link0] can't create tee node at ".:"->"l0": Operation not permitted
[ng0_router] can't create pppoe peer to ng0_router:,orphans: Operation not permitted
[wan_link0] PPPoE: Error creating ng_pppoe node on ng0_router:
[wan_link0] PPPoE node for link is not initialized
[wan_link0] Link: DOWN event
[wan_link0] LCP: Down event
[wan_link0] Link: reconnection attempt 1 in 4 seconds
[wan_link0] Link: reconnection attempt 1
[ng0_router] can't create pppoe peer to ng0_router:,orphans: Operation not permitted
[wan_link0] PPPoE: Error creating ng_pppoe node on ng0_router:
[wan_link0] PPPoE node for link is not initialized
[wan_link0] Link: DOWN event
[wan_link0] LCP: Down event
[wan_link0] Link: reconnection attempt 2 in 3 seconds
[wan_link0] Link: reconnection attempt 2
[ng0_router] can't create pppoe peer to ng0_router:,orphans: Operation not permitted
[wan_link0] PPPoE: Error creating ng_pppoe node on ng0_router:
[wan_link0] PPPoE node for link is not initialized
[wan_link0] Link: DOWN event
[wan_link0] LCP: Down event
[wan_link0] Link: reconnection attempt 3 in 4 seconds
[/quote]
 
jail (Befehl) -c (Option) jailname(Name der jail) und erst dann eine zweite Option in? als? vnet

Nö. Siehe Manpage:
jail [-dhilqv] [-J jid_file] [-u username] [-U username] [-cmr]
param=value ... [command=command ...]

jail -c Parameterliste Kommando

Der Jailname ist ein Parameter (name=foo), vnet ist ein bool'scher Parameter wird also aktiviert, sobald er in der Parameterliste auftaucht.
Die Liste der Parameter gibt in der Manpage im Absatz Jail Parameters.

Rob
 
Ja, die manpage hab ich brav studiert und mich ausgetobt. Hab auch alles schon umgestellt und ist viel einfacher zu bedienen. Hätt ichs nur gleich mal so gemacht.
Aber mein Fazit erstmal zu mpd5: Das funzt nicht auf Anhieb, vielleicht auch gar nicht. Werde es mit FBSD12 nochmal testen.
netgraph in seiner Gänze mit dem Machbaren zu verstehen, war mir zu großes Kino für ein Wochenende. Ich finde, es gibt wenig im Netz zu finden oder ich hab falsch gesucht.
 
Ich habs schon wieder umgemodelt und aus dem Kernel genommen - fürs erste, weil ich nur das WE erstmal als Zeitfenster hatte.

Code:
bind: Address already in use
CONSOLE: Can't listen for connections on 127.0.0.1 5005

Das gehört zusammen, Port 5005 und 5006 sind nicht wichtig für den Betrieb. 5005 ist die adminconsole und 5006 ist das Pendant dazu auf http.
Ich hab beide testweise in der config ausgestellt und es ging trotzdem nicht.

Code:
[wan] can't create iface node at ".:"->"temphook": Operation not permitted 7
[wan] can't create netgraph interface
Hier ist das erste Hündchen begraben. Durch VIMAGE wird die physikalische 'em0' zu 'ng0_router', also das erste netgraph-device in der jail. Wenn ich es mit meinem Halbwissen korrekt verstanden habe, ist ".:" der Startpunkt eines Pfades eines netgraph-devices und hook bezeichnet das damit festgenagelte device, was immer das dann am Ende auch werden soll. In der jail eben mein ng0_router als iface in netgraph.
Ob jetzt 'Operation not permitted 7' davon kommt, dass man aus einem bereits bestehenden ng-device kein weiteres erstellen kann, kein weiteres an'hooken' kann oder ob es aufgrund einer mangelnden jail-Berechtigung kommt, entzieht sich meiner Kenntnis.

Somit kommen wir noch gar nicht zur Frage, ob pppoe0, also ein device in der jail erstellt werden kann oder darf.

Ich bastel das nochmal hin auf nem anderen Testrechner, dann geb ich Rückmeldung zu sockstat.

Bauchschmerzen hab ich auch bei meinem vllt. unrichtigen workaround, 2 karten als vnet für ne jail zu definieren. :(
 
Bin erst jetzt dazu gekommen, das nochmal auszuprobieren. FreeBSD 12 kam ja jetzt schneller, als ich testen konnte, somit hab ich gleich die 12-RELEASE genommen.

Es funktioniert einfach nicht. Schlaufaul wie ich war, wollte ich dann die Netzwerkkarten an eine opnsense unter bhyve durchgeben, aber anscheinend wird meine Hardware unter FreeBSD nicht richtig unterstützt. vmm ist bei Intel VT-d wohl ausgereifter. :confused:
Die NICs werden zwar als ppt angezeigt und vor dem Host versteckt, aber cbsd motzt dennoch fleißig, wenns ans Eingemachte geht -> https://www.bsdforen.de/threads/amdvi-iommu-wieso-klappts-nicht.34778/

Die Hardware ist definitiv dazu fähig, mit dem aktuellen Proxmox konnte ich das Königsszenario erreichen: GPU passthrough mit Beschleunigung auf einer Windows 10 VM. :)

Somit geb ich mich erstmal mit einem opnsense auf einer physikalischen Maschine zufrieden. :rolleyes:
 
Man muss sich halt generell darüber klar sein, dass die pf-Version in FreeBSD wirklich alt ist und seit Jahren nur noch sporadisch Bugfixes bekommt. ipfw ist wesentlich besser unterstützt und hat deutlich mehr Funktionen, so man sie denn braucht.
Gibt es da eigentlich eine Übersicht, was ipfw kann und pf nicht? Das würde mich sehr interessieren. Ich finde pf wegen der total simplen Syntax viel besser als ipfw, aber wenn ipfw mehr kann, sollte ich mich auch damit mal beschäftigen.
 
Gibt es da eigentlich eine Übersicht, was ipfw kann und pf nicht?
Als ich mich damit unlängst beschäftigte, kam ich auf viele Links, wo allerdings nur die uralte ipfw 1.0 behandelt wird. Oft wird es auch nicht gleich ersichtlich...
Wenn ich mich recht entsinne, sollte man tunlichst für NAT das Kernelmodul laden oder gleich reinbauen (also kein natd!). Ob das im 12er generic bereits drin ist, weiß ich nicht.
Zumindest kann das pf auf FreeBSD kein schönes shaping in beide Richtungen. Mit viel Verrenkung geht es, aber mit ipfw wäre das eleganter.

Ich hab dir mal eine pdf rangepackt, die hat mir gut für den Anfang geholfen.
Etwas mehr 'advanced' hab ich hiervon gezogen: https://www.teslina.com/tutorials/freebsd/installation-software/ipfw-firewall/

Ansonsten habe ich die alten Threads hier auf dem Board durchgewühlt, Yamagi hat dazu auch einiges geschrieben.

Da ich aktuell aus Zeitmangel an einer opnsense hänge, kann ich nicht wirklich mehr beitragen. Was mir aber auch schon oft in der Vergangenheit ein Licht aufgehen ließ, war 'config-spicken'. Also auf ner pfsense oder opnsense alles hinklicken wie man das haben will und dann per shell die config lesen. ;)
 

Anhänge

  • NAT_DHCP_IPFW.pdf
    392,6 KB · Aufrufe: 1.228
  • Like
Reaktionen: lme
Zurück
Oben