ezjail маршрут

ProFTP · Непрочитанное сообщение **ProFTP** » 2009-07-16 19:26:46

что-то запутлся...

подскажите делаю по этой статье http://www.scottro.net/qnd/qnd-ezjail.html

сделал все как там, но не могу зайти в ssh просто... просто молчит

мне надо natd настроить, я правильно понимаю?

если айпи в разных сетях, как настроить маршрутизацию из клетки в основную машину? ну чтобы SSH работал?

я добавил в основную

Код: Выделить всё

ifconfig_fxp0_alias0="inet 192.168.1.231/32"

Код: Выделить всё

export jail_apachejail_hostname="apachejail"
export jail_apachejail_ip="192.168.1.231"
export jail_apachejail_rootdir="/usr/jails/apachejail"
export jail_apachejail_exec="/bin/sh /etc/rc"
export jail_apachejail_mount_enable="YES"
export jail_apachejail_devfs_enable="YES"
export jail_apachejail_devfs_ruleset="devfsrules_jail"
export jail_apachejail_procfs_enable="YES"
export jail_apachejail_fdescfs_enable="YES"

Код: Выделить всё

natd_enable="YES"
natd_interface="rl0"
natd_flags="" 
natd_flags="-f /etc/natd.conf"

/etc/natd.conf

Код: Выделить всё

    -redirect_port tcp 10.8.0.100:25 25
    -redirect_port tcp 192.168.1.231:80 80

как тут указать еще один порт?

Код: Выделить всё

    -redirect_port tcp 10.8.0.100:25 25 22
    -redirect_port tcp 192.168.1.231:80 80 22

???

запускаю:

Код: Выделить всё

/usr/local/etc/rc.d/ezjail.sh restart

в клетке:

Код: Выделить всё

rpc_bind_enable="NO"
network_interfaces=""
sshd_enable="YES"
sendmail_enable="NO"
defautrouter="192.168.1.1"
early_late_divider="NETWORKING"

в клетке ифконфиг почему-то не показывает айпи

Код: Выделить всё

ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=48<VLAN_MTU,POLLING>
	ether 00:0e:2e:
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active

подскажите, что это за айпи 192.168.1.1 ?? если у меня в другой сети стоит айпи который на основной машине, я пробовал там поставить 10.8.0.100?
что делать? где завтыкал?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ProFTP · Непрочитанное сообщение **ProFTP** » 2009-07-16 21:30:03

айпи на сетевой в клетке появился, как настроить сеть елси айпи разные?

НАТД включил, но что-то не фуричит!!!

маршрут по умолчанию может быть на другую сеть на 10.8.0.100? с 192.168.1.231?

как замутить тоже самое на natd или ipfw, и куда маршрут прописаь? а то получается что шлюз в другой сети стоит...

Код: Выделить всё

lan_if="em0"
lan_if_subnet="10.0.0.0/8"
lan_if_ip="10.28.11.10"
jail_vps_server_ip="202.54.2.3"
nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

добавил

Код: Выделить всё

add divert 8668 ip from 192.168.1.231 to any in via rl0

появился пинг есть на внешний айпи 10.8.0.100 (который тоже НАТиться)
но выходжа в интернет нету, что делать?

ЗЫ как правило у каждой сети есть свой шлюз, а как тут сделать?

ЗЫЫ (как только срочно надо, то никогда не сделаешь... надо гемороить...)

UPD

пытаюсь прописать марщрут такая хрень

Код: Выделить всё

test# route add default 10.8.0.100
route: writing to routing socket: Operation not permitted

поставил

Код: Выделить всё

security.jail.socket_unixiproute_only=0

типо должно маршруты давать

http://forums.freebsd.org/archive/index.php/t-3372.html

Непрочитанное сообщение **zingel** » 2009-07-18 21:19:52

Тоже столкнулся с такой же херотой

пробую пока статичными роутами но что-то пока никак

ProFTP · Непрочитанное сообщение **ProFTP** » 2009-07-18 21:24:53

когда сделаешь скажешь...?

у тебя аканут тут есть http://forums.freebsd.org/archive/index.php/t-3372.html

может там просить?

то есть у меня айпи есть на интерфейсе в локальной сети (дальше он натиться и идет наружу как реальный)

может поставить в клетку другой айпи именно с той сети которая на интерфейсе? (только у меня его нету, надо сиськового админа попросить чтобы выделил)
тогда НАТ не надо?

в каждой сети должен быть свой шлюз? тут может надо всю сеть заНАТить?

Непрочитанное сообщение **zingel** » 2009-07-19 1:30:02

я думаю он имеет ввиду

Код: Выделить всё

export jail_jailname_defaultrouter="xxx.yy.zz.nn"

но что-то я не могу понять почему у меня не работает

ProFTP · Непрочитанное сообщение **ProFTP** » 2009-07-19 1:37:48

http://www.google.com.ua/search?hl=uk&q ... =&aq=f&oq=

врядли, такая опция jail_jailname_defaultrouter разве есть в /etc/rc.conf ?

у тебя ipfw? может проблема в том что надо pf?

Код: Выделить всё

lan_if="em0"
lan_if_subnet="10.0.0.0/8"
lan_if_ip="10.28.11.10"
jail_vps_server_ip="202.54.2.3"
nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

вот так делают в гугле - говорят работает...

у меня айпи jail_vps_server_ip не реальный...

Непрочитанное сообщение **zingel** » 2009-07-19 2:22:26

ты сума сошел в rc.conf, это делается во

Код: Выделить всё

/usr/local/etc/ezjail/my

Код: Выделить всё

export jail_mysql_gateway_enable="YES"
export jail_mysql_defaultrouter="хх.хх.хх.хх" - вот тут я и не понял
export jail_mysql_hostname="mysql"
export jail_mysql_ip="192.168.10.1"
export jail_mysql_rootdir="/usr/jails/mysql"
export jail_mysql_exec="/bin/sh /etc/rc"
export jail_mysql_mount_enable="YES"
export jail_mysql_devfs_enable="YES"
export jail_mysql_devfs_ruleset="devfsrules_jail"
export jail_mysql_procfs_enable="YES"
export jail_mysql_fdescfs_enable="YES"
export jail_mysql_image=""
export jail_mysql_imagetype=""
export jail_mysql_attachparams=""
export jail_mysql_attachblocking=""
export jail_mysql_forceblocking=""

потом

Код: Выделить всё

ezjail-admin create -f my apache 192.168.0.1

ProFTP · Непрочитанное сообщение **ProFTP** » 2009-07-19 2:26:13

ЫЫЫЫЫЫЫ

http://www.lissyara.su/?id=1197

Код: Выделить всё

.......................
Затем на родительской машине добавляем такие строки в /etc/rc.conf

# запускать ли клетки
jail_enable="YES"
# список имён jail`ов разделённый пробелами, типа
# jail_list="test tets1 test2 test3"
jail_list="test"
...........................

нафига там /usr/local/etc/ezjail/my ставить? нигде не написано чтобы там ставить? в хенбуке не написано, я по-моему не ставил - у меня работало РАНЬШЕ...

Непрочитанное сообщение **zingel** » 2009-07-19 2:38:16

ты больше хендбуки читай всякие, маны надо читать, конкретнее параметр -f, чтобы всем джайлам можно было давать шаблонный rc.conf, в шаблончике пишется что и везде только с ппоравкой на клеточность, то есть там можно и defaultrouter прописать

ProFTP · Непрочитанное сообщение **ProFTP** » 2009-07-19 3:36:19

ты сделал или еще нет?

какие у тебя данные, айпи на интерфейсе какой и алиас?
нат как настраивать?

Непрочитанное сообщение **zingel** » 2009-07-19 4:58:09

не сделал,

Код: Выделить всё

bce1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=1bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4>
        ether 00:13:72:fb:eb:ed
        inet 87.xx.xx.xx netmask 0xffffff00 broadcast 87.xx.xx.xx
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
lo1: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 192.168.0.2 netmask 0xffffff00
        inet 192.168.0.3 netmask 0xffffff00
        inet 192.168.0.4 netmask 0xffffff00
        inet 192.168.0.5 netmask 0xffffff00
        inet 192.168.0.6 netmask 0xffffff00
        inet 192.168.0.7 netmask 0xffffff00
        inet 192.168.0.1 netmask 0xffffff00

туда пингуется оттуда нет

ProFTP · Непрочитанное сообщение **ProFTP** » 2009-07-19 21:33:14

почему у тебя алиас не привязан к inet 87.xx.xx.xx netmask 0xffffff00 broadcast 87.xx.xx.xx?

======================

кстате, кто знает, скажите, может нельзя привязывать алиас к интерфейсу другой сети (алиас получается другой сети)?

то есть нужно чтобы алиасы соответствовали сети в которой айпи на интерейсе?

ProFTP · Непрочитанное сообщение **ProFTP** » 2009-07-22 21:53:37

Код: Выделить всё

#netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            10.8.0.1           UGS         0    40408    rl0
10.8.0.0/16        link#1             U           0      104    rl0
10.8.0.100          link#4             UHS         0      936    lo0
127.0.0.1          link#4             UH          0     5994    lo0
192.168.1.231      link#4             UHS         0      122    lo0 =>
192.168.1.231/32   link#1             U           0        0    rl0

Код: Выделить всё

apachejail# netstat -rn
netstat: kvm not available: /dev/mem: No such file or directory
Routing tables
rt_tables: symbol not in namelist

у всех ли такое в клетке?

freeman · Непрочитанное сообщение **freeman** » 2009-07-23 12:32:35

ProFTP писал(а):у всех ли такое в клетке?

Код: Выделить всё

test# netstat -rn
netstat: kvm not available: /dev/mem: No such file or directory
Routing tables
rt_tables: symbol not in namelist

FreeBSD 6.4 ezjail

dekloper

чойта я не пойму проблему, иль лыжи-скороходы..
алиасы - любые, сколько\куда надо, и не обязательно с 32-мя идиничками

Код: Выделить всё

ifconfig_vr0="inet 212.ххх.ххх.138  netmask 255.255.255.240"
ifconfig_vr0_alias0="inet 212.ххх.ххх.240  netmask 255.255.255.192"
ifconfig_vr0_alias1="inet 10.0.0.232  netmask 255.255.255.0"
ifconfig_vr0_alias2="inet 10.0.0.234  netmask 255.255.255.0"
ifconfig_vr0_alias3="inet 10.0.0.147  netmask 255.255.255.0"
ifconfig_vr0_alias4="inet 212.ххх.ххх.188  netmask 255.255.255.224"

у мня там постгресов зоопарк, всё замечательно, хотя кое кто не верил..

zingel писал(а):туда пингуется оттуда нет

сырые сокеты разрешите

Код: Выделить всё

security.jail.allow_raw_sockets=1

test# netstat -rn
netstat: kvm not available: /dev/mem: No such file or directory

в "базовом" исполнении оно так и должно быть
зачем там роут?

ProFTP писал(а):нафига там /usr/local/etc/ezjail/my ставить? нигде не написано чтобы там ставить? в хенбуке не написано, я по-моему не ставил - у меня работало РАНЬШЕ...

не надо путать
по "схеме" как у Лиса, сделано без использования езжаил, т.е. управлять клетками можно скриптом в /etc/rc.d/jail (уронить\поднять, все или выборочно)
ежели синсталить ез, часть опций в рц.конф (что у Лиса) вобще не нада, рулится всё ез-ой
мне как-то удобней конструкция как у Лиса
шас ез-у осваиваю, будет круче.. наверно.. %)

forum.lissyara.su

ezjail маршрут

ezjail маршрут

Услуги хостинговой компании Host-Food.ru

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут

Re: ezjail маршрут