Песочница на freebsd

VirtualBox, QEMU, ESX/ESXi и прочия
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Песочница на freebsd

Непрочитанное сообщение Spook1680 » 2011-02-18 10:38:52

Почему-то не идет инет из песочницы
разрешил в фаэрволе все

Код: Выделить всё

 ipfw show
00100 14502 4870874 allow ip from any to any via lo0
00200 11464 4560482 allow ip from any to any
65535     0       0 deny ip from any to any
UNISAW# 

rc.conf на материнской машине

Код: Выделить всё

Внешний интерфейс
ifconfig_rl0="inet 7"
defaultrouter="7"

ifconfig_ale0="inet 192.168.0.204 netmask 255.255.255.0"
ifconfig_ale0_alias0="inet 192.168.0.62 netmask 255.255.255.0"

jail_enable="YES"
jail_interface="ale0"
jail_devfs_enable="YES"
jail_procfs_enable="YES"
jail_set_hostname_allow="YES"
jail_list="test"
jail_test_rootdir="/usr/home/jails/test.local"
jail_test_hostname="test.local"
jail_test_ip="192.168.0.62"
jail_test_exec_start="/bin/sh /etc/rc"
jail_test_exec_stop="/bin/sh /etc/rc.shutdown"
jail_test_flags="-l -U root"

sysctl.conf

Код: Выделить всё


security.jail.allow_raw_sockets=1

Пробуем пинговать из клетке а в ответ тишина
st# ping ya.ru
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Песочница на freebsd

Непрочитанное сообщение hizel » 2011-02-18 10:54:15

use tcpdump, Luke
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: Песочница на freebsd

Непрочитанное сообщение Spook1680 » 2011-02-18 12:09:10

hizel писал(а):use tcpdump, Luke
:(
Внутри клетке

Код: Выделить всё

st# ifconfig
ale0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=319a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MCAST,WOL_MAGIC>
        ether 00:26:18:d4:d4:b3
        inet 192.168.0.62 netmask 0xffffffff broadcast 192.168.0.62
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:50:ba:b4:cc:82
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
vboxnet0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 0a:00:27:00:00:00
st# tcpdump -i ale0 -lex
tcpdump: (no devices found) /dev/bpf0: No such file or directory
st# 

внутри клетке
rc.conf

Код: Выделить всё

st# cat /etc/rc.conf
rpcbind_enable="NO"
network_interfaces = ""
sshd_enable="YES"
inetd_enable="YES"
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Песочница на freebsd

Непрочитанное сообщение hizel » 2011-02-18 12:18:10

tcpdump не в клетке, а на хост системе естественно
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: Песочница на freebsd

Непрочитанное сообщение Spook1680 » 2011-02-18 12:56:05

hizel писал(а):tcpdump не в клетке, а на хост системе естественно
Упс

Извините
На материнской машинке запускаем

Код: Выделить всё

 tcpdump -i rl0 -lex
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
12:52:53.423154 00:50:ba:b4:cc:82 (oui Unknown) > 00:17:95:42:0a:f8 (oui Unknown), ethertype IPv4 (0x0800), length 65: 192.168.0.62.52177 > dns.comcor.ru.domain: 15029+ A? ya.ru. (23)
        0x0000:  4500 0033 b898 0000 4011 2d0b c0a8 003e
        0x0010:  d42d 0003 cbd1 0035 001f 8aeb 3ab5 0100
        0x0020:  0001 0000 0000 0000 0279 6102 7275 0000
        0x0030:  0100 01
12:52:54.438434 00:50:ba:b4:cc:82 (oui Unknown) > 00:17:95:42:0a:f8 (oui Unknown), ethertype IPv4 (0x0800), length 83: 77.65395 > ns4.comcor.ru.domain: 59281+ PTR? 3.0.45.212.in-addr.arpa. (41)
        0x0000:  4500 0045 b899 0000 4011 fb5e 4d6c 62d4
        0x0010:  57f5 be7a ff73 0035 0031 66c1 e791 0100
        0x0020:  0001 0000 0000 0000 0133 0130 0234 3503
        0x0030:  3231 3207 696e 2d61 6464 7204 6172 7061
        0x0040:  0000 0c00 01
12:52:54.443627 00:17:95:42:0a:f8 (oui Unknown) > 00:50:ba:b4:cc:82 (oui Unknown), ethertype IPv4 (0x0800), length 174: ns4.comcor.ru.domain > 77..65395: 59281 1/2/2 PTR[|domain]
        0x0000:  4500 00a0 884c 4000 fb11 3050 57f5 be7a
        0x0010:  4d6c 62d4 0035 ff73 008c b2fa e791 8180
        0x0020:  0001 0001 0002 0002 0133 0130 0234 3503
        0x0030:  3231 3207 696e 2d61 6464 7204 6172 7061
        0x0040:  0000 0c00 01c0 0c00 0c00 0100 007a f300
        0x0050:  0f03
12:52:54.443817 00:50:ba:b4:cc:82 (oui Unknown) > 00:17:95:42:0a:f8 (oui Unknown), ethertype IPv4 (0x0800), length 85: 77..49268 > ns4.comcor.ru.domain: 59282+ PTR? 62.0.168.192.in-addr.arpa. (43)
        0x0000:  4500 0047 b89a 0000 4011 fb5b 4d6c 62d4
        0x0010:  57f5 be7a c074 0035 0033 12da e792 0100
        0x0020:  0001 0000 0000 0000 0236 3201 3003 3136
        0x0030:  3803 3139 3207 696e 2d61 6464 7204 6172
        0x0040:  7061 0000 0c00 01
12:52:54.448761 00:17:95:42:0a:f8 (oui Unknown) > 00:50:ba:b4:cc:82 (oui Unknown), ethertype IPv4 (0x0800), length 162: ns4.comcor.ru.domain > 77..49268: 59282 NXDomain 0/1/0 (120)
        0x0000:  4500 0094 884d 4000 fb11 305b 57f5 be7a
        0x0010:  4d6c 62d4 0035 c074 0080 7af4 e792 8183
        0x0020:  0001 0000 0001 0000 0236 3201 3003 3136
        0x0030:  3803 3139 3207 696e 2d61 6464 7204 6172
        0x0040:  7061 0000 0c00 01c0 1100 0600 0100 0000
        0x0050:  6e00
12:52:55.469292 00:50:ba:b4:cc:82 (oui Unknown) > 00:17:95:42:0a:f8 (oui Unknown), ethertype IPv4 (0x0800), length 87: 77..56036 > ns4.comcor.ru.domain: 59283+ PTR? 122.190.245.87.in-addr.arpa. (45)
        0x0000:  4500 0049 b89d 0000 4011 fb56 4d6c 62d4
        0x0010:  57f5 be7a dae4 0035 0035 46ae e793 0100
        0x0020:  0001 0000 0000 0000 0331 3232 0331 3930
        0x0030:  0332 3435 0238 3707 696e 2d61 6464 7204
        0x0040:  6172 7061 0000 0c00 01
12:52:55.509596 00:17:95:42:0a:f8 (oui Unknown) > 00:50:ba:b4:cc:82 (oui Unknown), ethertype IPv4 (0x0800), length 182: ns4.comcor.ru.domain > 77..56036: 59283 1/2/2 (140)
        0x0000:  4500 00a8 884e 4000 fb11 3046 57f5 be7a
        0x0010:  4d6c 62d4 0035 dae4 0094 4791 e793 8180
        0x0020:  0001 0001 0002 0002 0331 3232 0331 3930
        0x0030:  0332 3435 0238 3707 696e 2d61 6464 7204
        0x0040:  6172 7061 0000 0c00 01c0 0c00 0c00 0100
        0x0050:  0076

В клетке запустил

Код: Выделить всё

# ping ya.ru


Получается вроде как и запросы проходит а ответа не видать
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Песочница на freebsd

Непрочитанное сообщение hizel » 2011-02-18 13:01:58

я не вижу icmp

Код: Выделить всё

tcpdump -i rl0 -np icmp
для начала пингуйте шлюз например
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: Песочница на freebsd

Непрочитанное сообщение Spook1680 » 2011-02-18 13:22:39

hizel писал(а):я не вижу icmp

Код: Выделить всё

tcpdump -i rl0 -np icmp
для начала пингуйте шлюз например
Пинг из клетки 192.168.0.102 это шлюз
На материнской машине проверяю на локальном интерфейсе пинг

Код: Выделить всё

tcpdump -i ale0 -np icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ale0, link-type EN10MB (Ethernet), capture size 96 bytes
13:23:41.650396 IP 192.168.0.62 > 192.168.0.102: ICMP echo request, id 51465, seq 33, length 64
13:23:41.650440 IP 192.168.0.102 > 192.168.0.62: ICMP echo reply, id 51465, seq 33, length 64
13:23:42.672246 IP 192.168.0.62 > 192.168.0.102: ICMP echo request, id 51465, seq 34, length 64
13:23:42.672290 IP 192.168.0.102 > 192.168.0.62: ICMP echo reply, id 51465, seq 34, length 64
13:23:43.694094 IP 192.168.0.62 > 192.168.0.102: ICMP echo request, id 51465, seq 35, length 64
13:23:43.694137 IP 192.168.0.102 > 192.168.0.62: ICMP echo reply, id 51465, seq 35, length 64

"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: Песочница на freebsd

Непрочитанное сообщение Spook1680 » 2011-02-18 13:27:15

А вот с внешнем интерфейсом rl0 вы правы косяк нет icmp

resolv.conf
указаны ДНС провайдера и в клетке и на Материнсокй машине
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: Песочница на freebsd

Непрочитанное сообщение Spook1680 » 2011-02-18 13:31:03

Извиняюсь наврал
Шлюз провайдера не видит

Код: Выделить всё

tcpdump -i rl0 -np icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
13:31:53.429964 IP 192.168.0.62 > 77: ICMP echo request, id 56841, seq 9, length 64
13:31:54.451814 IP 192.168.0.62 > 77.1: ICMP echo request, id 56841, seq 10, length 64
13:31:55.473670 IP 192.168.0.62 > 77.1: ICMP echo request, id 56841, seq 11, length 64
13:31:56.495530 IP 192.168.0.62 > 77.1: ICMP echo request, id 56841, seq 12, length 64

Тогда не понятно почему
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Песочница на freebsd

Непрочитанное сообщение princeps » 2011-03-10 9:54:32

Spook1680 писал(а):В клетке запустил
# ping ya.ru
Вроде пинг в клетке не работает, или изменилось что-то?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Песочница на freebsd

Непрочитанное сообщение hizel » 2011-03-10 10:16:51

всегда работал
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: Песочница на freebsd

Непрочитанное сообщение opt1k » 2011-03-10 11:38:12

Код: Выделить всё

security.jail.allow_raw_sockets=1
и будет работать
по дефолту = 0

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Песочница на freebsd

Непрочитанное сообщение princeps » 2011-03-10 13:29:21

а ну да, он в первом посте написал. Невнимательно читал.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: Песочница на freebsd

Непрочитанное сообщение opt1k » 2011-03-10 15:45:23

эту строчку можно убрать:

Код: Выделить всё

ifconfig_ale0_alias0="inet 192.168.0.62 netmask 255.255.255.0"
Джейл сам заалиасит интерфейс т.к. есть вот эта строчка:

Код: Выделить всё

jail_interface="ale0"