pfsense oder m0n0wall in einer jail umgebung

[Nataraj]

Hi
wie aus dem titel ersichtlich ist mein projekt pfsense oder m0n0wall , in einer jail zu installieren ;
mein basissystem ist ein FreeBSD 5.3
hat irgenjemand eine idee , wie das evtl gehen könnte ?
einfach eine jail aus den sourcen kompilieren und die config dateien und binaries kopieren ?

 

[Illuminatus]

Darf man fragen was du damit bezwecken/erreichen willst?

 

[AceX5]

Und wie willst du aus der jail heraus die Firewall-settings der Hostsystems manipulieren? Dazu hat eine jail überhaupt keine Berechtigung.

 

[Bummibaer]

Wozu soll das gut sein ???

 

[Nataraj]

m0n0wall oder pfsense in jail

ich möchte einen router/firewall in einer virtuellen maschine aufsetzen
, da mein hrdware router zu oft abschmiert
vmware läuft wunderbar mit win 2k , was bei mir 24/7 on ist und eine zweite instanz geht nicht , sonst hätte ich pfsense dort in als vmware guest installiert
qemu - networking geht bei mir ums verrecken nicht ,
also dachte ich da an eine jail ....

 

[AceX5]

Solche Möglichkeiten bietet eine jail nicht.

 

[Illuminatus]

Diese Vorstellung halte ich, um es mal dezent auszudrücken, für absolut *****.
Der Kauf eines anderen Routers/Wraps/Soekris scheint mir angemessener. Übrigens kommt qemu nicht mit ICMP klar.

*wegen unangemessener Wortwahl editiert*

 

[marzl]

eine firewall IN einer virtuellen umgebung AUF einem host?
bitte bitte bitte *mitsahneobendrauf* überdenke dein firewallkonzept.

 

[asg]

Mir dünkt hier hat jemand nicht "man jail" gelesen...

 

[Nataraj]

schaut euch mal den Artikel in der ct´an : " der eigene server"
dabei geht es um ein debian linux auf dem als uml prozess ein komplettes ipcop läuft , d.h . eine firewalling/routing lösung in einer virtuellen maschine .
das uml konzept ist so weit von jails nicht entfernt.
hier ist das diskussionsforum dazu : http://www.heise.de/ct/ftp/projekte/srv/
zu Illuminatus : deine wortwahl disqualifiziert dich von selbst , auch wenn du hier ein elder bist .
zu marzl :das konzept , die routing / firewalling funktionen in eine virtuelle maschine zu verlegen ist nicht neu und funktioniert in vielen fällen
vmware z.b. diese möglichkeit und das konzept ist aussergewöhnlich sicher
warum das im einzelnen bei jail nicht funktionieren kann, können wir gerne besprechen
aber bitte keine globalen unqualifizierten abwertungen einer solchen idee

 

[asg]

schaut euch mal den Artikel in der ct´an : " der eigene server"
dabei geht es um ein debian linux auf dem als uml prozess ein komplettes ipcop läuft , d.h . eine firewalling/routing lösung in einer virtuellen maschine .
das uml konzept ist so weit von jails nicht entfernt.

Da liegen Welten zwischen.
Eine Jail ist chrot auf steroiden, ohne eigenen Kernel (keine virtualisierung)
UML hingegen erlaubt eine virtualisierung einer Linux Instanz mit eigenem Kernel.
Eine Jail verursacht weniger Last als UML, UML hingegen ist wohl sehr gut, durch den eigene Kernel, dazu geeignet einen anderen Kernel auszuprobieren.
Die Unterschiede sind erheblich. Schau Dir SolarisZones an, hier wurden die Jails als Vorlage genutzt.

zu Illuminatus : deine wortwahl disqualifiziert dich von selbst , auch wenn du hier ein elder bist .
zu marzl :das konzept , die routing / firewalling funktionen in eine virtuelle maschine zu verlegen ist nicht neu und funktioniert in vielen fällen
vmware z.b. diese möglichkeit und das konzept ist aussergewöhnlich sicher
warum das im einzelnen bei jail nicht funktionieren kann, können wir gerne besprechen
aber bitte keine globalen unqualifizierten abwertungen einer solchen idee

Du spricht von einer virtuellen Maschine, Jails sind keine virtuelle Maschine ala vmware und Konsorten, hier wird keine HW vorgegaukelt oder sonstiges.
Schau Dir mal "man jail" und "man 2 jail" an.

 

[Nataraj]

das ist mir schon alles klar
http://grunix-mirror.positive-it.de/jails-html/index.html habe ich auch gelesen
asg , dein beitrag beantwortet aber nicht meine frage

da aber jail offensichtlich immer nur eine IP nutzen kann , funktioniert das alles nicht

aber danke für eure FUNDIERTEN antworten

 

[asg]

Im Prinzip schon, Du glaubst das eine Jail eine virtuelle Maschine ist, was es aber nicht ist. Du kannst eine Jail nicht mit vmware und/oder UML vergleichen (naja, das schon, aber nicht gleichsetzen).
Du sagst:

as konzept , die routing / firewalling funktionen in eine virtuelle maschine zu verlegen ist nicht neu und funktioniert in vielen fällen vmware z.b. diese möglichkeit und das konzept ist aussergewöhnlich sicher

Und ich sage Dir, das eine Jail eben keine vmware ist, keine virtuelle Maschine.

Was ist daran unverständlich und beantwortet Dir nicht Deine Frage?
Btw. es ist schön das Du das Dokument gelesen hast, nur stehen dort keine technischen Feinheiten drin (dazu ist es auch nicht da).
Unter 1.3 steht doch aber was zum Vergleich....

 

[Nataraj]

man jail :
Jails are typically set up using one of two philosophies: either to con-
strain a specific application (possibly running with privilege), or to
create a ``virtual system image'' running a variety of daemons and ser-
vices. In both cases, a fairly complete file system install of FreeBSD
is required, so as to provide the necessary command line tools, daemons,
libraries, application configuration files, etc. However, for a virtual
server configuration, a fair amount of additional work is required so as
to configure the ``boot'' process. This manual page documents the con-
figuration steps necessary to support either of these steps, although the
configuration steps may be refined based on local requirements

http://www.jailing.net/ :
jailing.net is a website dedicated to jail(8), a unix system to imprison a process and its descendants, used for virtualizing machine services by isolating an operating sytstem.


Wortklauberei brauchen wir hier nicht betreiben
virtual machine/virtualserver/virtualized services ....
mir ist schon klar , das bei einer jail keine hardware emuliert wird und auch kein eigener kernel installiert wird
trotz allem handelt es sich hier um eine virtuelle machine ( einen prozess , der dir vorgaukelt , er sei ein separater computer)
und meine frage ist NICHT beantwortet .
jail installiert - alle services ,die auf pfsense onder m0n0wall auch installiert sind in der jail installiern und genauso konfigurieren und an die gegebenheiten der jail anpassen .
aber : es funktioniert nur eine netzwerkverbindung ---> daher --> geht nicht
also ist das alles müssig

 

[asg]

http://www.jailing.net/ :
jailing.net is a website dedicated to jail(8), a unix system to imprison a process and its descendants, used for virtualizing machine services by isolating an operating sytstem.

Kannte die Seite gar nicht. Was es nicht alles gibt.

[...]
trotz allem handelt es sich hier um eine virtuelle machine ( einen prozess , der dir vorgaukelt , er sei ein separater computer)

Es wäre ein virtueller Server, eine Instanz auf einem Hostsystem deren Dienste in dieser Umgebung ausgeführt werden.
Zumal die Idee einer Jail nicht die einer virtuellen Maschine ist.

und meine frage ist NICHT beantwortet .
jail installiert - alle services ,die auf pfsense onder m0n0wall auch installiert sind in der jail installiern und genauso konfigurieren und an die gegebenheiten der jail anpassen .
aber : es funktioniert nur eine netzwerkverbindung ---> daher --> geht nicht
also ist das alles müssig

Also, pass auf, ich würde es begrüssen wenn das geht, auch wenn ich nicht weiss welchen Sinn dies ergibt, aber das wäre egal, was für einen anderen Sinn ergibt muss mir nicht auch sinnvoll erscheinen.

Nun denn, Du kannst einer Jail mehr als nur eine IP zuweisen, hierfür gibt es einen patch in den Weiten des Netzes. Pawel hat dazu mal was geschrieben. Man, nun finde ich die URL nicht mehr...

 

[Bytesplit]

Ich werfe den Begriff Xen jetzt einfach so mal hier hinein. Vielleicht hilft es beim weiteren Anheizen der Unterhaltung, vielleicht aber auch nicht.


dennoch, nichts für ungut!

 

[Nataraj]

xen

xen scheint hochinteressant zu sein
habe ich mich aber noch nicht näher damit beschäftigt
für mein Vorhaben eher ungeeignet , da ich ein schon existierendes system dafür nutzen möchte
xen funktioniert aber soviel ich weiss als eine art basissytem , das die virtualisierung übernimmt , ähnlich vmware esx server
das wird dann richtig interessant, wenn die cpu hersteller xen-code nativ untersützen .
dann musst du auch die zu installierenden systeme nicht mehr modifizieren
http://www.golem.de/0506/38616.html
läuft xen bei dir ?
mit welchen gastsystemen ?

 

[Bytesplit]

für einen xen-host bedarf es nur eines modifizierten Kernels. Als Host kann inzwischen ein NetBSD, aber auch Debian und andere Linuxe (SuSE fällt mir noch ein) laufen.

Im virtuellen Client braucht es ebenfalls einen mod. Kernel, da kann wohl FreeBSD-Current schon mit umgehen.

jedenfalls, AFAIK wird die Hardware virtuell jedem Gerät zur Verfügung gestellt. Es wird also keine virtuelle Spezialhardware vorgegaukelt, sondern die echte Hardware freigegeben (in einem Prinzip von Shares). Dadurch wird das ganze einigermassen brauchbar von der Geschwindigkeit her, kann aber dennoch versch. Plattformen (angeblich selbst Windows) laufen lassen.

soll also besser funzen als UML oder Vmware, aber performant wie Jails/Zones ist es nicht.

Egal wie ist alles nicht als eine echte Firewalllösung zu gebrauchen, vielmehr wäre es was als Testumgebung für Programmierung oder virtuelle Server.

Soekris macht schöne Kisten, zu relativ günstigen Konditionen. Alternativ wird vielleicht nur ein Software-Problem für deine instabile Fw verantwortlich sein. Oder Du tauschst etwas an der Hardware eben aus.