jail

[MrFuse]

ага, теперь ясно) всем огромное спасибо!

(сервак таки положил) забыл "options IPFIREWALL_DEFAULT_TO_ACCEPT"...сейчас вот жду пока сделать accept в ipfw чтоб я мог зайти по ssh)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[fox]

Друг мой, так ты решился сделать как у меня в конфигах, мне любопытна будет одна вещь, попробуй пробросить порт через нат если гнусно будет работать, тормазить, то через ssh делай туннель, вообщем скажеш...

[pimlab]

Вопрос к знатокам.
Будет ли работать, если на родительской и в клетке прога работает на *.1900UDP ? Повесить на определенный ип нет возможности Речь идет о miniupnpd и mediatomb.

[fox]

Ответ чисто гипотетический будет работать, в такой конфигурации: если прога ваша стоит на jail то какие jail ip в rc.conf указаны на такие jail и слушает. А вот родительская будет все ip и алиасы в том числе захватывать, как запретить я не знаю у самого такая проблема с DHCP, но есть решение лучше поставить ещё один jail и туда перенести с родительской!
Я так планирую со своим DHCP разобраться!

[pimlab]

Ответ чисто гипотетический будет работать, в такой конфигурации: если прога ваша стоит на jail то какие jail ip в rc.conf указаны на такие jail и слушает. А вот родительская будет все ip и алиасы в том числе захватывать, как запретить я не знаю у самого такая проблема с DHCP, но есть решение лучше поставить ещё один jail и туда перенести с родительской!
Я так планирую со своим DHCP разобраться!

а что такого в DHCP, вешаешь слушать нужный инерфейс и всё.... или для каждого заносишь нужное в конфиг.
miniupnpd должна иметь возможность работать с родительским pf , а как из клетки сделать даже не представляю.

[Yukh]

Заметил очень странное поведение jail в отношении родительской машины. Итак, все по порядку:

Цель: поднять в сети сервер, на котором будет крутиться один лишь sshd, который будет доступен из любой точки мира (на всех остальных серверах у меня к sshd доступом управляет PF по жестко указанным IP). Так как отдельную машину под это дело ставить слишком жирно, решил поднять jail по данной статье. Сделал все один в один по статье, за исключением запуска inetd (т.к. нафиг не нужен). В результате что получил:

Если на родительской машине прописано

Код: Выделить всё

ifconfig bge0_alias0="inet x.x.x.x netmask 255.255.255.255 alias"

то извне jail на попытку подключения к sshd отвечает "Connection refused". Исправил netmask на 255.255.255.248 (также как и на основном IP на родительской машине) - все заработало, НО! С родительской машины теперь та же проблема подключения к jail - "Connection refused", зато из сети пускает нормально. В приципе не страшно при наличии jexec.

Проблема 2: на родительской машине крутится основной DNS сервер компании, который используется для рекурсии и трансфера зон компании для всех остальных серверов. Есстественно, в jail я прописал его в качестве nameserver. Не сработало. Пришлось изменить на DNS сервера провайдера.

Кто нибудь знает решение проблемы с DNS? Может я чего не прописал на jail, чтобы он мог использовать родительский DNS?

P.S. В pf на jail-host разрешено все, на родительскую машину для DNS правила доступа тоже прописаны, в т.ч. и для jail.

[reLax]

Заметил очень странное поведение jail в отношении родительской машины. Итак, все по порядку:

Цель: поднять в сети сервер, на котором будет крутиться один лишь sshd, который будет доступен из любой точки мира (на всех остальных серверах у меня к sshd доступом управляет PF по жестко указанным IP). Так как отдельную машину под это дело ставить слишком жирно, решил поднять jail по данной статье. Сделал все один в один по статье, за исключением запуска inetd (т.к. нафиг не нужен). В результате что получил:

Если на родительской машине прописано

Код: Выделить всё

ifconfig bge0_alias0="inet x.x.x.x netmask 255.255.255.255 alias"

то извне jail на попытку подключения к sshd отвечает "Connection refused". Исправил netmask на 255.255.255.248 (также как и на основном IP на родительской машине) - все заработало, НО! С родительской машины теперь та же проблема подключения к jail - "Connection refused", зато из сети пускает нормально. В приципе не страшно при наличии jexec.

Проблема 2: на родительской машине крутится основной DNS сервер компании, который используется для рекурсии и трансфера зон компании для всех остальных серверов. Есстественно, в jail я прописал его в качестве nameserver. Не сработало. Пришлось изменить на DNS сервера провайдера.

Кто нибудь знает решение проблемы с DNS? Может я чего не прописал на jail, чтобы он мог использовать родительский DNS?

P.S. В pf на jail-host разрешено все, на родительскую машину для DNS правила доступа тоже прописаны, в т.ч. и для jail.

Код: Выделить всё

tcpdump -netttvvvi pflog0 host ipj.a.i.l.

[reLax]

Заметил очень странное поведение jail в отношении родительской машины. Итак, все по порядку:

Цель: поднять в сети сервер, на котором будет крутиться один лишь sshd, который будет доступен из любой точки мира (на всех остальных серверах у меня к sshd доступом управляет PF по жестко указанным IP). Так как отдельную машину под это дело ставить слишком жирно, решил поднять jail по данной статье. Сделал все один в один по статье, за исключением запуска inetd (т.к. нафиг не нужен). В результате что получил:

Если на родительской машине прописано

Код: Выделить всё

ifconfig bge0_alias0="inet x.x.x.x netmask 255.255.255.255 alias"

то извне jail на попытку подключения к sshd отвечает "Connection refused". Исправил netmask на 255.255.255.248 (также как и на основном IP на родительской машине) - все заработало, НО! С родительской машины теперь та же проблема подключения к jail - "Connection refused", зато из сети пускает нормально. В приципе не страшно при наличии jexec.

Проблема 2: на родительской машине крутится основной DNS сервер компании, который используется для рекурсии и трансфера зон компании для всех остальных серверов. Есстественно, в jail я прописал его в качестве nameserver. Не сработало. Пришлось изменить на DNS сервера провайдера.

Кто нибудь знает решение проблемы с DNS? Может я чего не прописал на jail, чтобы он мог использовать родительский DNS?

P.S. В pf на jail-host разрешено все, на родительскую машину для DNS правила доступа тоже прописаны, в т.ч. и для jail.

Код: Выделить всё

tcpdump -netttvvvi pflog0 host JailIP

[Yukh]

Код: Выделить всё

tcpdump -netttvvvi pflog0 host JailIP

Это с какой машины надо сделать?
Самое интересное то, что после танцев с бубном, с родительской машины я теперь уже могу зайти на jail по ssh. Что сделал - сам не пойму. На момент написания сообщения не работало, сейчас вдруг заработало. Возможно - изза того, что прописал DNS провайдера. Сейчас попробую на свои изменить.


UPD: и со своим DNS все заработало как надо. Что произошло и почему час назад не работало, а сейчас заработало - не могу понять. Настройки не трогал, сервисы не передергивал.

[reLax]

Код: Выделить всё

tcpdump -netttvvvi pflog0 host JailIP

Это с какой машины надо сделать?
Самое интересное то, что после танцев с бубном, с родительской машины я теперь уже могу зайти на jail по ssh. Что сделал - сам не пойму. На момент написания сообщения не работало, сейчас вдруг заработало. Возможно - изза того, что прописал DNS провайдера. Сейчас попробую на свои изменить.


UPD: и со своим DNS все заработало как надо. Что произошло и почему час назад не работало, а сейчас заработало - не могу понять. Настройки не трогал, сервисы не передергивал.

с родительской

[Yukh]

с родительской

Тишина.

Скорее всего из-за правил pf:

pass on $ext_if from any to 194.67.52.117 keep state
pass on $ext_if from 194.67.52.117 to any keep state

закомментарил их, пытаюсь зайти с "неавторизованной" машины - появляется:

Код: Выделить всё

/home/yukh 107 # tcpdump -netttvvvi pflog0 host 194.67.52.117
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes
000000 rule 0/0(match): block in on bge0: (tos 0x0, ttl 56, id 53647, offset 0, flags [DF], proto TCP (6), length 64) 80.250.222.102.59715 > 194.67.52.117.22:  tcp 44 [bad hdr length 0 - too short, < 20]
2. 999424 rule 0/0(match): block in on bge0: (tos 0x0, ttl 56, id 53648, offset 0, flags [DF], proto TCP (6), length 64) 80.250.222.102.59715 > 194.67.52.117.22:  tcp 44 [bad hdr length 0 - too short, < 20]

На мой взгляд сейчас все правильно работает.

[reLax]

с родительской

Тишина.

Скорее всего из-за правил pf:

pass on $ext_if from any to 194.67.52.117 keep state
pass on $ext_if from 194.67.52.117 to any keep state

закомментарил их, пытаюсь зайти с "неавторизованной" машины - появляется:

Код: Выделить всё

/home/yukh 107 # tcpdump -netttvvvi pflog0 host 194.67.52.117
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes
000000 rule 0/0(match): block in on bge0: (tos 0x0, ttl 56, id 53647, offset 0, flags [DF], proto TCP (6), length 64) 80.250.222.102.59715 > 194.67.52.117.22:  tcp 44 [bad hdr length 0 - too short, < 20]
2. 999424 rule 0/0(match): block in on bge0: (tos 0x0, ttl 56, id 53648, offset 0, flags [DF], proto TCP (6), length 64) 80.250.222.102.59715 > 194.67.52.117.22:  tcp 44 [bad hdr length 0 - too short, < 20]

На мой взгляд сейчас все правильно работает.

Код: Выделить всё

block in on bge0

Ну...так в чем вопрос? bge - ASUS'овский чтоли сервак ?

[Yukh]

Сервак HP Proliant DL380 G4
Так я про что и говорю - block in all все правильно отработал. Но правила то для jail были прописаны на то, чтобы все было открыто. Ладно, главное что заработало сейчас. Спасибо.

[Yukh]

Нашел еще одну проблему:

Сеть 194.67.52.112/29
есть 2 сервера - .114 и .115

Так вот с родительской машины (.116) я могу заходить на них по открытым портам (http, ssh, ftp), а с jail - не пускает внутри одной маски. В то же время с jail на сервере за пределами сети 194.67.52.112/29 пускает нормально.

Маску на интерфейсе родительской машины для jail поменял на /32 и прописал в jail default route.

[kvasik]

Привет всем.
Столкнулся с некоторым неудобством при создании клеток.
Если запускать скрипт создания клетки, подключившись по ssh удаленно, то важно не закрыть окно терминала, иначе в указанной папке, где должна появиться девственная система, будет пусто.
Модифицировал скрипт для создания последовательно 2х клеток сразу, поэтому запускаю этот процесс на ночь. Работа второго системника с открытым окном терминалом не оправдывает затрат на электричество
Как грамотно обойти этот косяк?

[fox]

Привет всем.
Столкнулся с некоторым неудобством при создании клеток.
Если запускать скрипт создания клетки, подключившись по ssh удаленно, то важно не закрыть окно терминала, иначе в указанной папке, где должна появиться девственная система, будет пусто.
Модифицировал скрипт для создания последовательно 2х клеток сразу, поэтому запускаю этот процесс на ночь. Работа второго системника с открытым окном терминалом не оправдывает затрат на электричество
Как грамотно обойти этот косяк?

Двумя спосабами:
Намба ван:
Использовать консоли на самом сервере, потключаемся к серванту по ЭССАШ, затем например надо поработать с первой консолью или второй делаем вот так:

Код: Выделить всё

watch -W ttyv1

где ttyv0..7 наши консоли который мы на сервере обычно ALT+F1...F8 переключаем
Подлогиниваемся вводи логин и пароль делаем там что хотим, отваливаемся при помощи комбинаций клавиш CTRL+G
ну и в это время там всё работает, надо вернуться снова делаем

Код: Выделить всё

watch -W ttyv1

А намбер ту:
Из портов полезную прогу поставить:

Код: Выделить всё

cd /usr/ports/sysutils/screen; make install clean

Это виртуальный терминал почти тоже самое будет, что и первый вариант только по функционалу больше, в гугле полно каманд по его эксплуатации!
Пишите, с радостью помогу!

[fox]

Вот по вопросу screen, если интересно:
http://live.daemony.org/freebsd/screen.html

http://club.shelek.ru/viewart.php?id=308

[dekloper]

Использовать консоли на самом сервере, потключаемся к серванту по ЭССАШ, затем например надо поработать с первой консолью или второй делаем вот так:

Код: Выделить всё • Развернуть

watch -W ttyv1

главно штоп какойнить мудак с консоли сервера не "помог" в это время

[fox]

главно штоп какойнить мудак с консоли сервера не "помог" в это время

Я пологаю, что сервер закрыт в серверной и ключь у двоих людей, у Главного Админа, и Охраны на случай пожара!

[kvasik]

...

Сенк, полезная инфа

[fox]

...

Сенк, полезная инфа

Всегда пожалуйста, я рад что вам оказался полезным!

[U286]

Здравствуйте.
Возникла проблема в основной системе не могу заставить слушать только один ip сервис sshd. В логах:
sshd[750]: error: Bind to port 22 on 192.168.0.2 failed: Can`t assing reguested address.
sshd[750]: fatal: Cannot bind any address.
IP получается динамически. При повторном запуске сервиса все нормально. Такое ощущение что ip просто не успевает получиться, по крайней мере дальше в логах идет сообщение о успешном присвоении ip. Как с этим бороться?

[fox]

Здравствуйте.
Возникла проблема в основной системе не могу заставить слушать только один ip сервис sshd. В логах:
sshd[750]: error: Bind to port 22 on 192.168.0.2 failed: Can`t assing reguested address.
sshd[750]: fatal: Cannot bind any address.
IP получается динамически. При повторном запуске сервиса все нормально. Такое ощущение что ip просто не успевает получиться, по крайней мере дальше в логах идет сообщение о успешном присвоении ip. Как с этим бороться?

sshd_config в студию!

[U286]

Все как в статье:

Код: Выделить всё

ListenAddress 192.168.0.2
#ListenAddress ::

Странно что повторный запуск ошибок не выдает и нормально запускает сервис. Ну и если не указывать ip то все работает.

[fox]

Все как в статье:

Код: Выделить всё

ListenAddress 192.168.0.2
#ListenAddress ::

Странно что повторный запуск ошибок не выдает и нормально запускает сервис. Ну и если не указывать ip то все работает.

Я так понимаю у вас динамический ip и при получении нового ip возникает трабла?

А Вы можите разресовать интерфейсы и Ip адреса?
К примеру вот так:

Код: Выделить всё

re0
ip=dhcp
re1
ip=192.168.0.1
alias ip=192.168.0.250 - jail

А то я немного не въезжаю, что именно вы хотите?