несколько вопросов по jail

[gumeniuc]

Доброго времени суток,

Добрался и я до jail, прочитал хэндбук, форумы, но не могу найти ответы на вопросы.

Значится так, система чистая FreeBSD 8.4-RELEASE, исходники присутствуют.

Сделал всё по инструкции: http://www.freebsd.org/doc/handbook/jails-build.html

далее конфиги

Код: Выделить всё

hostname="host.test.local"
ifconfig_em0="inet 10.0.0.1  netmask 255.255.255.0"

ifconfig_em0_alias0="inet 10.10.0.1 netmask 255.255.255.0"
ifconfig_em0_alias1="inet 10.10.0.2 netmask 255.255.255.0"

ifconfig_em0_alias2="inet 10.0.10.1 netmask 255.255.255.0"
ifconfig_em0_alias3="inet 10.0.10.2 netmask 255.255.255.0"

sshd_enable="YES"
defaultrouter="10.0.0.10"

jail_enable="YES" # Set to NO to disable starting of any jails
jail_list="new jail" # Space separated list of names of jails

jail_new_rootdir="/usr/jail/new" # jail's root directory
jail_new_hostname="new-jail.test.local" # jail's hostname
jail_new_ip="10.10.0.2" # jail's IP address
jail_new_devfs_enable="YES" # mount devfs in the jail
jail_new_procfs_enable="YES"
jail_new_flags="-l -U root"

jail_jail_rootdir="/usr/jail/jail" # jail's root directory
jail_jail_hostname="jail.test.local" # jail's hostname
jail_jail_ip="10.0.10.2" # jail's IP address
jail_jail_devfs_enable="YES" # mount devfs in the jail
jail_jail_procfs_enable="YES"
jail_jail_flags="-l -U root"

Код: Выделить всё

root@host:/usr/home/ssh # sysctl security.jail
security.jail.param.cpuset.id: 0
security.jail.param.host.hostid: 0
security.jail.param.host.hostuuid: 64
security.jail.param.host.domainname: 256
security.jail.param.host.hostname: 256
security.jail.param.children.max: 0
security.jail.param.children.cur: 0
security.jail.param.enforce_statfs: 0
security.jail.param.securelevel: 0
security.jail.param.path: 1024
security.jail.param.name: 256
security.jail.param.parent: 0
security.jail.param.jid: 0
security.jail.enforce_statfs: 2
security.jail.mount_allowed: 0
security.jail.chflags_allowed: 0
security.jail.allow_raw_sockets: 1
security.jail.sysvipc_allowed: 0
security.jail.socket_unixiproute_only: 0
security.jail.set_hostname_allowed: 1
security.jail.jail_max_af_ips: 255
security.jail.jailed: 0

Идея собственно следующая: 2 клетки в 2ух подсетях (10.10.0.0/24 и 10.0.10.0/24). У каждой свой gw *.*.*.1 соответственно. (Будет реализовано через setfib).

Клетки стартуют

Код: Выделить всё

root@host:/usr/home/ssh # jls -v
   JID  Hostname                      Path
        Name                          State
        CPUSetID
        IP Address(es)
     1  new-jail.test.local           /usr/jail/new
        new                           ACTIVE
        2
        10.10.0.2
     2  jail.test.local               /usr/jail/jail
        jail                          ACTIVE
        3
        10.0.10.2

Но далее не могу посмотреть таблицу маршрутизации, сделать traceroute, ping.

Код: Выделить всё

root@new-jail:/ # ping 10.10.10.10
ping: socket: Operation not permitted

root@new-jail:/ # sysctl security.jail.allow_raw_sockets=1
security.jail.allow_raw_sockets: 0
sysctl: security.jail.allow_raw_sockets=1: Operation not permitted

Переменные менять не могу, через jexec такая же история.

Подскажите, пожалуйста, в чём косяк и где искать истину.

спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Bayerische]

security.jail.allow_raw_sockets

[gumeniuc]

security.jail.allow_raw_sockets

не могу поменять значение переменной

Код: Выделить всё

root@new-jail:/ # sysctl security.jail.allow_raw_sockets=1
security.jail.allow_raw_sockets: 0
sysctl: security.jail.allow_raw_sockets=1: Operation not permitted

[rayder]

в корневой системе

[gumeniuc]

и в корневой делал. не помогло.

[rayder]

а никаких фаерволов случаем нет?

[gumeniuc]

нет. фильтрацию не включал. ладно при пинге, но netstat -rn от фаера точно не зависит.

[Bayerische]

Клетки остановите, поменяйте переменную, запустите снова.

[gumeniuc]

в упор не хочет работать.

[gumeniuc]

Развернул на новой машине ezjail. Результат не изменился. Пинга нет, таблицу маршрутизации посмотреть не могу.

[Dmitriy_K]

Только что решил подобную проблему:
http://forum.lissyara.su/viewtopic.php?f=8&t=40083

[gumeniuc]

Благодарю за помощь !!! Не догадался почитать RN к 8.4 стыдно...

[Dmitriy_K]

Думаю, что очень даже многие не догадались или прочитали, но не поняли.
Там слишком коротко было сказано. Дали бы примеры, чтобы мозгу легче было зацепиться и осознать проблему.