freebsd 10 нету интернета в jail

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
550953
рядовой
Сообщения: 24
Зарегистрирован: 2014-09-07 9:20:17

freebsd 10 нету интернета в jail

Непрочитанное сообщение 550953 » 2014-09-15 12:58:43

в jail машинке выполняю ping google.com
ответ:
ping: cannot resolve google.com: Host name lookup failure


ХОСТ МАШИНА:
cat etc/jail.conf

Код: Выделить всё

hostname="freebsd.my"
ifconfig_fxp0="inet 192.168.1.3 netmask 255.255.255.0" 
ifconfig_fxp0_alias0="inet 192.168.1.7/32"
defaultrouter="192.168.1.1"
moused_enable="YES"

jail_devfs_enable="YES"
jail_procfs_enable="YES"
jail_enable="YES"   # Set to NO to disable starting of any jails
jail_list="shikinn_com"     # Space separated list of names of jails


jail_shikinn_com_rootdir="/jails/shikinn.com"     # jail's root directory
jail_shikinn_com_hostname="shikinn.com"  # jail's hostname
jail_shikinn_com_ip="192.168.1.7"           # jail's IP address
jail_shikinn_com_devfs_enable="YES"          # mount devfs in the jail
jail_shikinn_com_exec="/bin/sh /etc/rc"

Код: Выделить всё

 jls
   JID  IP Address      Hostname                      Path
     2  192.168.1.5     smtpd.shikinn.com             /jails/smtpd.shikinn.com
     5  192.168.1.7     shikinn.com                   /jails/shikinn.com

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

550953
рядовой
Сообщения: 24
Зарегистрирован: 2014-09-07 9:20:17

Re: freebsd 10 нету интернета в jail

Непрочитанное сообщение 550953 » 2014-09-15 13:06:54

опечатался вмест
cat etc/jail.conf
о этоt
/etc/rc.conf

outlander
рядовой
Сообщения: 44
Зарегистрирован: 2009-10-15 23:01:33

Re: freebsd 10 нету интернета в jail

Непрочитанное сообщение outlander » 2014-09-15 13:17:19

а resolv.conf?
по ипишке пингуется?

guest
проходил мимо

Re: freebsd 10 нету интернета в jail

Непрочитанное сообщение guest » 2014-09-15 13:22:48

550953 писал(а):опечатался вмест
cat etc/jail.conf
о этоt
/etc/rc.conf
# man jail
# man jail.conf

# ifconfig -a
# jls -n

в jail'ах (jexec) покажите вывод ifconfig и netstat

550953
рядовой
Сообщения: 24
Зарегистрирован: 2014-09-07 9:20:17

Re: freebsd 10 нету интернета в jail

Непрочитанное сообщение 550953 » 2014-09-16 7:41:57

Задача создать хостинг, хотя бы примитивный.
Исходные данные:
1) 192.168.1.1 - модем, он же роутер
2) 192.168.1.2 - копм №1 ОС Debian только настраиваю с него и проверяю.
3) 192.168.1.3 - комп №2 ОС FreeBSD 10, c Jail(192.168.1.4, и т.д)
Модем раздает интернет, dhcp отключил в нем, задаю IP обом комьютерам в ручную. На втором ПК задал альясом(надо что б проверили) ИП 192.168.1.4.
В жаиле на этот ИП указал его внутренним(надо что бы проверили), в резолве жаила указал неймсервер 192.168.1.1(надо что бы проверили) для интернета в жайл(так ведь делается?).
На хост машине 192.168.1.3 настроил nginx. На модеме сделал проброс из 80 на 8080 порт машины с ИП 192.168.1.4. Cейчас когда ввожу shikinn.com попадаю в 192.168.1.3. Выходит от модемного проброса нету смысла, мог и сразу кидать в 192.168.168.3?

!!! Как пробросить порт с 192.168.1.3 в 192.168.1.4 ?

в чем разница между командами например:
1. make buildworld
2. make world
ВЫвалюваются ошибки Stop... после очень длительного компилирования.

!!! как их выполнить без ошибок?

Jail после изнурительной недели шаманизма запустил через ezjail
В жайле уже есть сеть, он может качать с инета порты и не только.


Как сделать джайлы что бы они были безопастны и ненагружали ноут слабенький? Что вы думаете нащет проект CBSD, там вроде есть что-то под хостинг базовое... только непонятно мне чайнику как это инсталировать все.

Потому что было ранее... Интернет появился, но прошу проверить
ifconfig -a

Код: Выделить всё

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
	ether 00:00:39:53:c7:ef
	inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255 
	inet6 fe80::200:39ff:fe53:c7ef%fxp0 prefixlen 64 scopeid 0x1 
	inet 192.168.1.5 netmask 0xffffffff broadcast 192.168.1.5 
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2 
	inet 127.0.0.1 netmask 0xff000000 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
jls -n

Код: Выделить всё

devfs_ruleset=0 nodying enforce_statfs=2 host=new ip4=new ip6=disable jid=1 name=shikinn_com parent=0 path=/jails/shikinn nopersist securelevel=-1 allow.nochflags allow.mount allow.mount.nodevfs allow.mount.nonullfs allow.mount.noprocfs allow.mount.notmpfs allow.mount.nozfs allow.noquotas allow.noraw_sockets allow.noset_hostname allow.nosocket_af allow.nosysvipc children.cur=0 children.max=0 cpuset.id=2 host.domainname="" host.hostid=0 host.hostname=shikinn.com host.hostuuid=00000000-0000-0000-0000-000000000000 ip4.addr=192.168.1.5 ip4.saddrsel ip6.addr= ip6.saddrsel
в jail'ах (jexec)
ifconfig

Код: Выделить всё

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
	ether 00:00:39:53:c7:ef
	inet 192.168.1.5 netmask 0xffffffff broadcast 192.168.1.5 
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
netstat

Код: Выделить всё

Active Internet connections
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
udp4       0      0 shikinn.syslog         *.*                    
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
c4b21158 dgram       0      0        0 c4b2135c        0 c4b212b0
c4b21204 dgram       0      0        0 c4b21408        0        0
c4b212b0 dgram       0      0        0 c4b2135c        0        0
c4b2135c dgram       0      0 c4c0c238        0 c4b21158        0 /var/run/logpriv
c4b21408 dgram       0      0 c4c0c354        0 c4b21204        0 /var/run/log

guest
проходил мимо

Re: freebsd 10 нету интернета в jail

Непрочитанное сообщение guest » 2014-09-16 12:17:47

550953 писал(а):Задача создать хостинг, хотя бы примитивный.
Исходные данные:
1) 192.168.1.1 - модем, он же роутер
2) 192.168.1.2 - копм №1 ОС Debian только настраиваю с него и проверяю.
3) 192.168.1.3 - комп №2 ОС FreeBSD 10, c Jail(192.168.1.4, и т.д)
Модем раздает интернет, dhcp отключил в нем, задаю IP обом комьютерам в ручную.
На втором ПК задал альясом(надо что б проверили) ИП 192.168.1.4.

зачем? конфликт два одинаковых ip адреса в одной сети.

что означает: (надо что б проверили) ?
В жаиле на этот ИП указал его внутренним(надо что бы проверили), в резолве жаила указал неймсервер 192.168.1.1(надо что бы проверили) для интернета в жайл(так ведь делается?).
что значит "внутренним"? физические интерфейсы и привязанные к ним адреса - создаются в host-машине,
затем необходимые из них отвязываются от хоста и привязываются к jail-машине.
В классическом JAIL нет собственного сетевого стека.
В любой системе в резолве задается Ваш локальный nameserver - если есть, nameserver - провайдера или
доступный публичный nameserver, можно задать nameserver домашнего роутера.
(разумеется, любой из заданных nameserver'ов должен быть действующим и доступным)
На хост машине 192.168.1.3 настроил nginx. На модеме сделал проброс из 80 на 8080 порт машины с ИП 192.168.1.4. Cейчас когда ввожу shikinn.com попадаю в 192.168.1.3. Выходит от модемного проброса нету смысла, мог и сразу кидать в 192.168.168.3?
верхнее - поток слов, нарисуйте схему и попробуйте написать условия что и какие порты откуда и куда
Вы хотите направить.
!!! Как пробросить порт с 192.168.1.3 в 192.168.1.4 ?
см выше
в чем разница между командами например:
1. make buildworld
2. make world
"make world" == сборка мира и затем сразу установка собранного мира, два этапа в одном,
под "миром" понимается СИСТЕМА, но без ядра.
Итого:

"make world" == "make buildworld" + "make installworld"

обычно сборку (build) и установку (install) -> выполняют как два отдельных этапа:

# make buildworld
если успех
# make installworld
ВЫвалюваются ошибки Stop... после очень длительного компилирования.
ошибки бывают разные, если каждый раз сборка валится в разных местах - скорей всего у Вас битая RAM,
берите memtest86 и проверяйте, ну или нужно смотреть диагностику ошибок.
!!! как их выполнить без ошибок?
сборка релизов системы из правильных sources и при правильном обновлении, должна проходить без проблем.
Как сделать джайлы что бы они были безопастны и ненагружали ноут слабенький?
jail по архитектуре предназначен для защиты хост машины, вопрос непонятен.

нагрузку необходимо ограничивать или лимитировать.
Что вы думаете нащет проект CBSD, там вроде есть что-то под хостинг базовое... только непонятно мне чайнику как это инсталировать все.
отличный проект
Потому что было ранее... Интернет появился, но прошу проверить
ifconfig -a

Код: Выделить всё

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
	ether 00:00:39:53:c7:ef
	inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255 
	inet6 fe80::200:39ff:fe53:c7ef%fxp0 prefixlen 64 scopeid 0x1 
	inet 192.168.1.5 netmask 0xffffffff broadcast 192.168.1.5 
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2 
	inet 127.0.0.1 netmask 0xff000000 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
192.168.1.3 - адрес хост машины
192.168.1.5 - адрес jail машины?

Выше Вы писали про 192.168.1.4 != 192.168.1.5
jls -n

Код: Выделить всё

devfs_ruleset=0 nodying enforce_statfs=2 host=new ip4=new ip6=disable jid=1 name=shikinn_com parent=0 path=/jails/shikinn nopersist securelevel=-1 allow.nochflags allow.mount allow.mount.nodevfs allow.mount.nonullfs allow.mount.noprocfs allow.mount.notmpfs allow.mount.nozfs allow.noquotas allow.noraw_sockets allow.noset_hostname allow.nosocket_af allow.nosysvipc children.cur=0 children.max=0 cpuset.id=2 host.domainname="" host.hostid=0 host.hostname=shikinn.com host.hostuuid=00000000-0000-0000-0000-000000000000 ip4.addr=192.168.1.5 ip4.saddrsel ip6.addr= ip6.saddrsel
из верхнего видно что у jail-машины адрес ip4.addr=192.168.1.5
в jail'ах (jexec)
ifconfig

Код: Выделить всё

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
	ether 00:00:39:53:c7:ef
	inet 192.168.1.5 netmask 0xffffffff broadcast 192.168.1.5 
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
netstat

Код: Выделить всё

Active Internet connections
Proto Recv-Q Send-Q Local Address          Foreign Address        (state)
udp4       0      0 shikinn.syslog         *.*                    
Active UNIX domain sockets
Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr
c4b21158 dgram       0      0        0 c4b2135c        0 c4b212b0
c4b21204 dgram       0      0        0 c4b21408        0        0
c4b212b0 dgram       0      0        0 c4b2135c        0        0
c4b2135c dgram       0      0 c4c0c238        0 c4b21158        0 /var/run/logpriv
c4b21408 dgram       0      0 c4c0c354        0 c4b21204        0 /var/run/log
про DNS - он у Вас настроен? Или на всех машинах внесены одинаковые записи в /etc/hosts?
это по работе резолвера.

flash709
рядовой
Сообщения: 15
Зарегистрирован: 2013-07-09 11:58:50

freebsd 10 нету интернета в jail

Непрочитанное сообщение flash709 » 2015-07-10 11:30:32

Продолжу здесь что бы не плодить темы.
Непонимаю где проблема.
И так, имею шлюз

Код: Выделить всё

 # uname -a
FreeBSD bla.bla.ru 10.1-RELEASE-p10 FreeBSD 10.1-RELEASE-p10 #0: Wed May 13 06:54:13 UTC 2015     
На нём поднят Jail через

Код: Выделить всё

# ifconfig
ale0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=c319a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MCAST,WOL_MAGIC,VLAN_HWTSO,LINKSTATE>
        ether e0:cb:4e:5c:f9:b8
        inet 192.168.3.1 netmask 0xfffffe00 broadcast 192.168.3.255
        inet 192.168.3.232 netmask 0xffffffff broadcast 192.168.3.232
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2008<VLAN_MTU,WOL_MAGIC>
        ether 00:30:4f:19:f9:de
        inet 1.2.3.4 netmask 0xfffffff8 broadcast 212.34.41.239
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Код: Выделить всё

 # cat /etc/jail.conf
path = "/zJails/$name";
host.hostname = "$name.blalbla.ru";
exec.fib=1;
interface = ale0;

allow.raw_sockets;
mount.devfs;

exec.start = "/bin/sh /etc/rc";
exec.stop = "/bin/sh /etc/rc.shutdown";
exec.clean;

mysql {
        ip4.addr="192.168.3.232";
}

Почитав папирус завёл фибы
0 фиб

Код: Выделить всё

 # netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags      Netif Expire
default            1.2.3.4      UGS         rl0
127.0.0.1          link#3             UH          lo0
192.168.2.0/23     link#1             U          ale0
192.168.3.1        link#1             UHS         lo0
192.168.3.232      link#1             UHS         lo0
192.168.3.232/32   link#1             U          ale0
1.2.3.4/29   link#2             U           rl0
1.2.3.4      link#2             UHS         lo0
1 фиб

Код: Выделить всё

# setfib 1 netstat -rn
Routing tables (fib: 1)

Internet:
Destination        Gateway            Flags      Netif Expire
default            192.168.3.1        UGS        ale0
192.168.3.0/24     e0:cb:4e:5c:f9:b8  US         ale0
Итог инета нет
Для эксперимента и что бы дело не стояло по настройка машины в Jail прокинул 80 порт через прокси

Код: Выделить всё

# ipfw list
00100 fwd 127.0.0.1,3128 tcp from 192.168.3.0/24 to not me dst-port 80
00110 fwd 127.0.0.1,3129 tcp from 192.168.3.0/24 to not me dst-port 443
00200 nat 1 ip from 192.168.3.0/24 to any via rl0
65500 allow ip from any to any
65535 deny ip from any to any
Итог с Jail

Код: Выделить всё

# ping ya.ru
PING ya.ru (213.180.193.3): 56 data bytes
36 bytes from 192.168.3.1: Time to live exceeded
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 5cdd   0 0000  01  01 0184 192.168.3.232  213.180.193.3

36 bytes from 192.168.3.1: Time to live exceeded
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 5ce4   0 0000  01  01 017d 192.168.3.232  213.180.193.3

36 bytes from 192.168.3.1: Time to live exceeded
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 5ce9   0 0000  01  01 0178 192.168.3.232  213.180.193.3
Если с мастер хоста

Код: Выделить всё

 # setfib 1 ping ya.ru
ping: cannot resolve ya.ru: Host name lookup failure
Гуру подскажите коллективным разумом что не так, что я не доделал ? А лучше ткните носом в ошибку и куда копать, так как уже неону неделю читаю попирусы и пытаюсь разобраться какого йуха не работает...

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

freebsd 10 нету интернета в jail

Непрочитанное сообщение Amadeus » 2015-07-11 2:55:33

1) Можно узнать страшную тайну?) Зачем вам фибы? Каждый "попирус" надо адаптировать под себя) Судя по

Код: Выделить всё

interface = ale0
надобности в них 0.

2). На мастер хосте в дефотном состоянии интернет есть? если есть то:
- Уберите все вышенаписанное вообще как класс.
- Несмотря на то, что есть jail.conf, если у Вас что то не получается с интернетом, например, впишите в старый добрый rc.conf что то типа этого, для проверки. Интерфейсы и названия только свои подставьте.

Код: Выделить всё

jail_enable="YES"
jail_interface="re1"
jail_devfs_enable="YES"
jail_procfs_enable="YES"
jail_socket_unixiproute_only="YES"

jail_set_hostname_allow="YES"
jail_parameters="allow.sysvipc=1 allow.raw_sockets=1 enforce_statfs=0"

jail_list="dns cdrp cdrpw cdrpb"

#dns jail
jail_dns_rootdir="/data/jails/dns"
jail_dns_hostname="ns1.monitor.cxm"
jail_dns_ip="10.10.21.6/24"
jail_dns_devfs_enable="YES"
jail_dns_procfs_enable="YES"
- Запустите клетку. Так заработает? Если да - проверяйте синтаксис jail.conf.

Отправлено спустя 33 минуты 36 секунд:
Вот пример так же с гейта.

Код: Выделить всё

[root@gw /etc]# traceroute ya.ru
traceroute: Warning: ya.ru has multiple addresses; using 93.158.134.3
traceroute to YA.ru (93.158.134.3), 64 hops max, 52 byte packets
 1  ШЛЮЗ Х (адрес шлюза Х)  0.358 ms  0.355 ms  0.364 ms
********
^C
[root@gw /etc]# jls
   JID  IP Address      Hostname                      Path
     1  10.10.21.6      ns1.monitor.cxm               /data/jails/dns
     2  10.10.21.8      cdrp.monitor.cxm              /data/jails/cdr
     3  10.10.21.12     cdrpw.monitor.cxm             /data/jails/cdrw
     4  10.10.21.10     cdrpb.monitor.cxm             /data/jails/cdrb
[root@gw /etc]# jexec 2 /bin/sh
# bash
[root@cdrp /]# traceroute ya.ru
traceroute: Warning: ya.ru has multiple addresses; using 213.180.204.3
traceroute to YA.ru (213.180.204.3), 64 hops max, 52 byte packets
 1  ШЛЮЗ Х (адрес шлюза Х)   22.836 ms  21.734 ms  0.534 ms
 ********
^C
Так что, если нет особых потребностей в маршрутизации или иных кейсов, которые не озвучены
1) Проверьте предыдущий пост
2) Уберите фибы (я думаю, этого будет достаточно)
Нет ничего невозможного

flash709
рядовой
Сообщения: 15
Зарегистрирован: 2013-07-09 11:58:50

freebsd 10 нету интернета в jail

Непрочитанное сообщение flash709 » 2015-07-13 16:37:04

На тестовой машине где пробовались клетки всё работало вообще без проблем. Все тоже самое решили перенести на GW. И тут столкнулись с проблемой что маршрут до default router клетка получает с мастер хоста. Так как на тестовой машине default был 192.168.0.1 то при настройке на шлюзе defaul он получает 1,2,3,4 от настроек шлюза. Именно по этому долгое гугление привело нас к фибам, именно для этого сделали маршрутизацию. То есть 0 фиб дефолтный, вся сетка через него бегает и тд и тп. 1 фиб как раз и нужен для того что бы иметь возможность прописать defaul router на jail так как другой возможности я не нашёл. принципиальной разницы между jail.conf и rc.conf нет, все настройки в rc.conf это "старый" формат. Все параметры в jail.conf также работают как и в rc.conf. Вывод после чтения папируса

Отправлено спустя 1 минуту 7 секунд:
Но тут проблема, завёрнутый маршрут доходит до GW и досвидос.

Отправлено спустя 12 минут 4 секунды:
Ну тут вы оказались правы. Через rc.conf всё забегало... что за хрень непонимаю...

Отправлено спустя 1 минуту 42 секунды:
Но не так как нужно, клетка ломится сразу на шлюз провайдера, а долдна на локальный шлюз

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

freebsd 10 нету интернета в jail

Непрочитанное сообщение Amadeus » 2015-07-13 17:12:11

1)
И тут столкнулись с проблемой что маршрут до default router клетка получает с мастер хоста
Это не проблема, а нормальная работа клетки.

2) Если вы без фибов и прочих изменяющих маршрутизацию вещей запускайте клетку она работает?

3) Зачем вам именно через локальный шлюз в данном моменте? Прежде чем что то сделать, надо же понять нужно ли это делать вообще? :)
- rdr на серые адреса со вне будет работать и так, в такой конфигурации
- Если нужны кастомные правила nata (например, определенный внешний ип из Х возможных, это уже к pf, например на гейте)

Касательно
Ну тут вы оказались правы. Через rc.conf всё забегало... что за хрень непонимаю...
Если у вас клетка с серым адресом работает на гейте, на котором включен нат, например, они общаются через
[root@gw /home/admin]# tcpdump -i lo0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo0, link-type NULL (BSD loopback), capture size 65535 bytes
16:50:06.994140 IP cdrp.monitor.cxm.35862 > ns1.monitor.cxm.domain: 1511+ A? ya.ru. (23)
16:50:06.994231 IP ns1.monitor.cxm.domain > cdrp.monitor.cxm.35862: 1511 3/2/4 A 213.180.193.3, A 93.158.134.3, A 213.180.204.3 (205)
16:50:06.994265 IP cdrp.monitor.cxm.20383 > ns1.monitor.cxm.domain: 12698+ AAAA? ya.ru. (23)
16:50:06.994304 IP ns1.monitor.cxm.domain > cdrp.monitor.cxm.20383: 12698 1/2/4 AAAA 2a02:6b8::3 (185)
16:50:07.151537 IP gw.monitor.cxm.30666 > ns1.monitor.cxm.domain: 43398+ PTR? 8.21.10.10.in-addr.arpa. (41)
16:50:07.151588 IP ns1.monitor.cxm.domain > gw.monitor.cxm.30666: 43398* 1/2/2 PTR cdrp.monitor.cxm. (139)
16:50:07.151651 IP gw.monitor.cxm.26258 > ns1.monitor.cxm.domain: 61641+ PTR? 6.21.10.10.in-addr.arpa. (41)
16:50:07.151682 IP ns1.monitor.cxm.domain > gw.monitor.cxm.26258: 61641* 1/2/2 PTR ns1.monitor.cxm. (134)
16:50:08.210456 IP gw.monitor.cxm.19202 > ns1.monitor.cxm.domain: 42818+ PTR? 1.21.10.10.in-addr.arpa. (41)
16:50:08.210498 IP ns1.monitor.cxm.domain > gw.monitor.cxm.19202: 42818* 1/2/2 PTR gw.monitor.cxm. (137)
Это вывод tcpdump на интерфейсе при телнете яндекса.

Отправлено спустя 7 минут 18 секунд:
[root@gw /home/admin]# tcpdump -i bge0 dst host ya.ru
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bge0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:58:49.410322 IP 109.236.92.167.60200 > http://www.yandex.ru.http: Flags [S], seq 858279373, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 2689666875 ecr 0], length 0
16:58:49.413482 IP 1.2.3.4.60200 > http://www.yandex.ru.http: Flags [.], ack 3193055316, win 1035, length 0
16:59:49.413333 IP 1.2.3.4.60200 > http://www.yandex.ru.http: Flags [.], ack 2, win 1035, length 0
16:59:49.413389 IP 1.2.3.4.60200 > http://www.yandex.ru.http: Flags [F.], seq 0, ack 2, win 1035, length 0
+ сразу идет через внешний интерфейс

Отправлено спустя 7 минут 54 секунды:
Просто уберите фибы, и посмотрите, будет ли у вас работать без них через jail.conf, например. Если будет - все, все хорошо.
Нет ничего невозможного

flash709
рядовой
Сообщения: 15
Зарегистрирован: 2013-07-09 11:58:50

freebsd 10 нету интернета в jail

Непрочитанное сообщение flash709 » 2015-07-13 17:36:01

1) если без фибов и через jail.conf именно на шлюзе не пашет, на другой тестовой машине всё работало. После вашего совета прописал всё через rc.conf с отключением ненужных мне параметров инет забегал. Но как я и писал напрямую через шлюз провайдера перешагивая локальный шлюз.
2) Тут основная задача, понять как сделать что бы ходил именно через локальный шлюз. Сделать лишь бы работало это не для меня, так как я не совсем понимаю почему создав маршрут он не обрабатывается локальным шлюзом.
И да я натю всё на шлюзе, для клеток будут именно свои внешние адреса. Просто мне кажется неправильно что бы лезло всё напрямую...