jail

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
MrFuse
проходил мимо
Сообщения: 3
Зарегистрирован: 2009-10-06 21:37:37

Re: jail

Непрочитанное сообщение MrFuse » 2009-10-07 9:28:03

ага, теперь ясно) всем огромное спасибо!

(сервак таки положил) забыл "options IPFIREWALL_DEFAULT_TO_ACCEPT"...сейчас вот жду пока сделать accept в ipfw чтоб я мог зайти по ssh)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-10-07 16:13:39

Друг мой, так ты решился сделать как у меня в конфигах, мне любопытна будет одна вещь, попробуй пробросить порт через нат если гнусно будет работать, тормазить, то через ssh делай туннель, вообщем скажеш...
Да пребудет с нами сила!!!
Всех убью, один останусь!

pimlab
прапорщик
Сообщения: 476
Зарегистрирован: 2007-10-09 11:31:03

Re: jail

Непрочитанное сообщение pimlab » 2009-10-12 10:20:25

Вопрос к знатокам.
Будет ли работать, если на родительской и в клетке прога работает на *.1900UDP ? Повесить на определенный ип нет возможности :( Речь идет о miniupnpd и mediatomb.

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2009-10-12 17:55:29

Ответ чисто гипотетический будет работать, в такой конфигурации: если прога ваша стоит на jail то какие jail ip в rc.conf указаны на такие jail и слушает. А вот родительская будет все ip и алиасы в том числе захватывать, как запретить я не знаю у самого такая проблема с DHCP, но есть решение лучше поставить ещё один jail и туда перенести с родительской!
Я так планирую со своим DHCP разобраться!
Да пребудет с нами сила!!!
Всех убью, один останусь!

pimlab
прапорщик
Сообщения: 476
Зарегистрирован: 2007-10-09 11:31:03

Re: jail

Непрочитанное сообщение pimlab » 2009-10-12 18:08:54

fox писал(а):Ответ чисто гипотетический будет работать, в такой конфигурации: если прога ваша стоит на jail то какие jail ip в rc.conf указаны на такие jail и слушает. А вот родительская будет все ip и алиасы в том числе захватывать, как запретить я не знаю у самого такая проблема с DHCP, но есть решение лучше поставить ещё один jail и туда перенести с родительской!
Я так планирую со своим DHCP разобраться!
а что такого в DHCP, вешаешь слушать нужный инерфейс и всё.... или для каждого заносишь нужное в конфиг.
miniupnpd должна иметь возможность работать с родительским pf , а как из клетки сделать даже не представляю.

Аватара пользователя
Yukh
рядовой
Сообщения: 14
Зарегистрирован: 2009-10-18 14:22:35
Откуда: Moscow
Контактная информация:

Re: jail

Непрочитанное сообщение Yukh » 2009-10-18 14:38:16

Заметил очень странное поведение jail в отношении родительской машины. Итак, все по порядку:

Цель: поднять в сети сервер, на котором будет крутиться один лишь sshd, который будет доступен из любой точки мира (на всех остальных серверах у меня к sshd доступом управляет PF по жестко указанным IP). Так как отдельную машину под это дело ставить слишком жирно, решил поднять jail по данной статье. Сделал все один в один по статье, за исключением запуска inetd (т.к. нафиг не нужен). В результате что получил:

Если на родительской машине прописано

Код: Выделить всё

ifconfig bge0_alias0="inet x.x.x.x netmask 255.255.255.255 alias"
то извне jail на попытку подключения к sshd отвечает "Connection refused". Исправил netmask на 255.255.255.248 (также как и на основном IP на родительской машине) - все заработало, НО! С родительской машины теперь та же проблема подключения к jail - "Connection refused", зато из сети пускает нормально. В приципе не страшно при наличии jexec.

Проблема 2: на родительской машине крутится основной DNS сервер компании, который используется для рекурсии и трансфера зон компании для всех остальных серверов. Есстественно, в jail я прописал его в качестве nameserver. Не сработало. Пришлось изменить на DNS сервера провайдера.

Кто нибудь знает решение проблемы с DNS? Может я чего не прописал на jail, чтобы он мог использовать родительский DNS?

P.S. В pf на jail-host разрешено все, на родительскую машину для DNS правила доступа тоже прописаны, в т.ч. и для jail.

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: jail

Непрочитанное сообщение reLax » 2009-10-18 14:46:34

Yukh писал(а):Заметил очень странное поведение jail в отношении родительской машины. Итак, все по порядку:

Цель: поднять в сети сервер, на котором будет крутиться один лишь sshd, который будет доступен из любой точки мира (на всех остальных серверах у меня к sshd доступом управляет PF по жестко указанным IP). Так как отдельную машину под это дело ставить слишком жирно, решил поднять jail по данной статье. Сделал все один в один по статье, за исключением запуска inetd (т.к. нафиг не нужен). В результате что получил:

Если на родительской машине прописано

Код: Выделить всё

ifconfig bge0_alias0="inet x.x.x.x netmask 255.255.255.255 alias"
то извне jail на попытку подключения к sshd отвечает "Connection refused". Исправил netmask на 255.255.255.248 (также как и на основном IP на родительской машине) - все заработало, НО! С родительской машины теперь та же проблема подключения к jail - "Connection refused", зато из сети пускает нормально. В приципе не страшно при наличии jexec.

Проблема 2: на родительской машине крутится основной DNS сервер компании, который используется для рекурсии и трансфера зон компании для всех остальных серверов. Есстественно, в jail я прописал его в качестве nameserver. Не сработало. Пришлось изменить на DNS сервера провайдера.

Кто нибудь знает решение проблемы с DNS? Может я чего не прописал на jail, чтобы он мог использовать родительский DNS?

P.S. В pf на jail-host разрешено все, на родительскую машину для DNS правила доступа тоже прописаны, в т.ч. и для jail.

Код: Выделить всё

tcpdump -netttvvvi pflog0 host ipj.a.i.l.

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: jail

Непрочитанное сообщение reLax » 2009-10-18 14:47:26

reLax писал(а):
Yukh писал(а):Заметил очень странное поведение jail в отношении родительской машины. Итак, все по порядку:

Цель: поднять в сети сервер, на котором будет крутиться один лишь sshd, который будет доступен из любой точки мира (на всех остальных серверах у меня к sshd доступом управляет PF по жестко указанным IP). Так как отдельную машину под это дело ставить слишком жирно, решил поднять jail по данной статье. Сделал все один в один по статье, за исключением запуска inetd (т.к. нафиг не нужен). В результате что получил:

Если на родительской машине прописано

Код: Выделить всё

ifconfig bge0_alias0="inet x.x.x.x netmask 255.255.255.255 alias"
то извне jail на попытку подключения к sshd отвечает "Connection refused". Исправил netmask на 255.255.255.248 (также как и на основном IP на родительской машине) - все заработало, НО! С родительской машины теперь та же проблема подключения к jail - "Connection refused", зато из сети пускает нормально. В приципе не страшно при наличии jexec.

Проблема 2: на родительской машине крутится основной DNS сервер компании, который используется для рекурсии и трансфера зон компании для всех остальных серверов. Есстественно, в jail я прописал его в качестве nameserver. Не сработало. Пришлось изменить на DNS сервера провайдера.

Кто нибудь знает решение проблемы с DNS? Может я чего не прописал на jail, чтобы он мог использовать родительский DNS?

P.S. В pf на jail-host разрешено все, на родительскую машину для DNS правила доступа тоже прописаны, в т.ч. и для jail.

Код: Выделить всё

tcpdump -netttvvvi pflog0 host JailIP

Аватара пользователя
Yukh
рядовой
Сообщения: 14
Зарегистрирован: 2009-10-18 14:22:35
Откуда: Moscow
Контактная информация:

Re: jail

Непрочитанное сообщение Yukh » 2009-10-18 15:27:16

reLax писал(а):

Код: Выделить всё

tcpdump -netttvvvi pflog0 host JailIP
Это с какой машины надо сделать?
Самое интересное то, что после танцев с бубном, с родительской машины я теперь уже могу зайти на jail по ssh. Что сделал - сам не пойму. На момент написания сообщения не работало, сейчас вдруг заработало. Возможно - изза того, что прописал DNS провайдера. Сейчас попробую на свои изменить.


UPD: и со своим DNS все заработало как надо. Что произошло и почему час назад не работало, а сейчас заработало - не могу понять. Настройки не трогал, сервисы не передергивал.

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: jail

Непрочитанное сообщение reLax » 2009-10-18 15:32:54

Yukh писал(а):
reLax писал(а):

Код: Выделить всё

tcpdump -netttvvvi pflog0 host JailIP
Это с какой машины надо сделать?
Самое интересное то, что после танцев с бубном, с родительской машины я теперь уже могу зайти на jail по ssh. Что сделал - сам не пойму. На момент написания сообщения не работало, сейчас вдруг заработало. Возможно - изза того, что прописал DNS провайдера. Сейчас попробую на свои изменить.


UPD: и со своим DNS все заработало как надо. Что произошло и почему час назад не работало, а сейчас заработало - не могу понять. Настройки не трогал, сервисы не передергивал.
с родительской

Аватара пользователя
Yukh
рядовой
Сообщения: 14
Зарегистрирован: 2009-10-18 14:22:35
Откуда: Moscow
Контактная информация:

Re: jail

Непрочитанное сообщение Yukh » 2009-10-18 15:38:48

reLax писал(а):с родительской
Тишина.

Скорее всего из-за правил pf:

pass on $ext_if from any to 194.67.52.117 keep state
pass on $ext_if from 194.67.52.117 to any keep state

закомментарил их, пытаюсь зайти с "неавторизованной" машины - появляется:

Код: Выделить всё

/home/yukh 107 # tcpdump -netttvvvi pflog0 host 194.67.52.117
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes
000000 rule 0/0(match): block in on bge0: (tos 0x0, ttl 56, id 53647, offset 0, flags [DF], proto TCP (6), length 64) 80.250.222.102.59715 > 194.67.52.117.22:  tcp 44 [bad hdr length 0 - too short, < 20]
2. 999424 rule 0/0(match): block in on bge0: (tos 0x0, ttl 56, id 53648, offset 0, flags [DF], proto TCP (6), length 64) 80.250.222.102.59715 > 194.67.52.117.22:  tcp 44 [bad hdr length 0 - too short, < 20]
На мой взгляд сейчас все правильно работает.

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: jail

Непрочитанное сообщение reLax » 2009-10-18 15:46:48

Yukh писал(а):
reLax писал(а):с родительской
Тишина.

Скорее всего из-за правил pf:

pass on $ext_if from any to 194.67.52.117 keep state
pass on $ext_if from 194.67.52.117 to any keep state

закомментарил их, пытаюсь зайти с "неавторизованной" машины - появляется:

Код: Выделить всё

/home/yukh 107 # tcpdump -netttvvvi pflog0 host 194.67.52.117
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes
000000 rule 0/0(match): block in on bge0: (tos 0x0, ttl 56, id 53647, offset 0, flags [DF], proto TCP (6), length 64) 80.250.222.102.59715 > 194.67.52.117.22:  tcp 44 [bad hdr length 0 - too short, < 20]
2. 999424 rule 0/0(match): block in on bge0: (tos 0x0, ttl 56, id 53648, offset 0, flags [DF], proto TCP (6), length 64) 80.250.222.102.59715 > 194.67.52.117.22:  tcp 44 [bad hdr length 0 - too short, < 20]
На мой взгляд сейчас все правильно работает.

Код: Выделить всё

block in on bge0
Ну...так в чем вопрос? bge - ASUS'овский чтоли сервак ?

Аватара пользователя
Yukh
рядовой
Сообщения: 14
Зарегистрирован: 2009-10-18 14:22:35
Откуда: Moscow
Контактная информация:

Re: jail

Непрочитанное сообщение Yukh » 2009-10-18 16:01:09

Сервак HP Proliant DL380 G4
Так я про что и говорю - block in all все правильно отработал. Но правила то для jail были прописаны на то, чтобы все было открыто. Ладно, главное что заработало сейчас. Спасибо.

Аватара пользователя
Yukh
рядовой
Сообщения: 14
Зарегистрирован: 2009-10-18 14:22:35
Откуда: Moscow
Контактная информация:

Re: jail

Непрочитанное сообщение Yukh » 2009-10-19 17:21:56

Нашел еще одну проблему:

Сеть 194.67.52.112/29
есть 2 сервера - .114 и .115

Так вот с родительской машины (.116) я могу заходить на них по открытым портам (http, ssh, ftp), а с jail - не пускает внутри одной маски. В то же время с jail на сервере за пределами сети 194.67.52.112/29 пускает нормально.

Маску на интерфейсе родительской машины для jail поменял на /32 и прописал в jail default route.

kvasik
проходил мимо

Re: jail

Непрочитанное сообщение kvasik » 2010-01-23 19:46:26

Привет всем.
Столкнулся с некоторым неудобством при создании клеток.
Если запускать скрипт создания клетки, подключившись по ssh удаленно, то важно не закрыть окно терминала, иначе в указанной папке, где должна появиться девственная система, будет пусто.
Модифицировал скрипт для создания последовательно 2х клеток сразу, поэтому запускаю этот процесс на ночь. Работа второго системника с открытым окном терминалом не оправдывает затрат на электричество :)
Как грамотно обойти этот косяк?

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2010-01-23 20:41:36

kvasik писал(а):Привет всем.
Столкнулся с некоторым неудобством при создании клеток.
Если запускать скрипт создания клетки, подключившись по ssh удаленно, то важно не закрыть окно терминала, иначе в указанной папке, где должна появиться девственная система, будет пусто.
Модифицировал скрипт для создания последовательно 2х клеток сразу, поэтому запускаю этот процесс на ночь. Работа второго системника с открытым окном терминалом не оправдывает затрат на электричество :)
Как грамотно обойти этот косяк?
Двумя спосабами:
Намба ван:
Использовать консоли на самом сервере, потключаемся к серванту по ЭССАШ, затем например надо поработать с первой консолью или второй делаем вот так:

Код: Выделить всё

watch -W ttyv1
где ttyv0..7 наши консоли который мы на сервере обычно ALT+F1...F8 переключаем
Подлогиниваемся вводи логин и пароль делаем там что хотим, отваливаемся при помощи комбинаций клавиш CTRL+G
ну и в это время там всё работает, надо вернуться снова делаем

Код: Выделить всё

watch -W ttyv1
А намбер ту:
Из портов полезную прогу поставить:

Код: Выделить всё

cd /usr/ports/sysutils/screen; make install clean
Это виртуальный терминал почти тоже самое будет, что и первый вариант только по функционалу больше, в гугле полно каманд по его эксплуатации!
Пишите, с радостью помогу!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2010-01-23 20:52:24

Вот по вопросу screen, если интересно:
http://live.daemony.org/freebsd/screen.html

http://club.shelek.ru/viewart.php?id=308
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1301
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: jail

Непрочитанное сообщение dekloper » 2010-01-28 11:37:37

fox писал(а):Использовать консоли на самом сервере, потключаемся к серванту по ЭССАШ, затем например надо поработать с первой консолью или второй делаем вот так:

Код: Выделить всё • Развернуть

watch -W ttyv1
главно штоп какойнить мудак с консоли сервера не "помог" в это время :crazy:
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2010-01-28 15:42:57

dekloper писал(а): главно штоп какойнить мудак с консоли сервера не "помог" в это время :crazy:
Я пологаю, что сервер закрыт в серверной и ключь у двоих людей, у Главного Админа, и Охраны на случай пожара!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
kvasik
рядовой
Сообщения: 12
Зарегистрирован: 2010-01-27 17:56:22

Re: jail

Непрочитанное сообщение kvasik » 2010-01-29 0:32:40

fox писал(а):...
Сенк, полезная инфа :good:

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2010-01-29 0:36:05

kvasik писал(а):
fox писал(а):...
Сенк, полезная инфа :good:
Всегда пожалуйста, я рад что вам оказался полезным! :smile:
Да пребудет с нами сила!!!
Всех убью, один останусь!

U286
проходил мимо

Re: jail

Непрочитанное сообщение U286 » 2010-02-13 19:38:34

Здравствуйте.
Возникла проблема в основной системе не могу заставить слушать только один ip сервис sshd. В логах:
sshd[750]: error: Bind to port 22 on 192.168.0.2 failed: Can`t assing reguested address.
sshd[750]: fatal: Cannot bind any address.
IP получается динамически. При повторном запуске сервиса все нормально. Такое ощущение что ip просто не успевает получиться, по крайней мере дальше в логах идет сообщение о успешном присвоении ip. Как с этим бороться?

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2010-02-13 19:49:52

U286 писал(а):Здравствуйте.
Возникла проблема в основной системе не могу заставить слушать только один ip сервис sshd. В логах:
sshd[750]: error: Bind to port 22 on 192.168.0.2 failed: Can`t assing reguested address.
sshd[750]: fatal: Cannot bind any address.
IP получается динамически. При повторном запуске сервиса все нормально. Такое ощущение что ip просто не успевает получиться, по крайней мере дальше в логах идет сообщение о успешном присвоении ip. Как с этим бороться?
sshd_config в студию!
Да пребудет с нами сила!!!
Всех убью, один останусь!

U286
проходил мимо

Re: jail

Непрочитанное сообщение U286 » 2010-02-13 20:39:36

Все как в статье:

Код: Выделить всё

ListenAddress 192.168.0.2
#ListenAddress ::
Странно что повторный запуск ошибок не выдает и нормально запускает сервис. Ну и если не указывать ip то все работает.

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: jail

Непрочитанное сообщение fox » 2010-02-13 21:00:04

U286 писал(а):Все как в статье:

Код: Выделить всё

ListenAddress 192.168.0.2
#ListenAddress ::
Странно что повторный запуск ошибок не выдает и нормально запускает сервис. Ну и если не указывать ip то все работает.
Я так понимаю у вас динамический ip и при получении нового ip возникает трабла?

А Вы можите разресовать интерфейсы и Ip адреса?
К примеру вот так:

Код: Выделить всё

re0
ip=dhcp
re1
ip=192.168.0.1
alias ip=192.168.0.250 - jail
А то я немного не въезжаю, что именно вы хотите?
Да пребудет с нами сила!!!
Всех убью, один останусь!