webserver jail

[FreeBSP]

как лучше раскидать распихивать апачу , нгинИКСом и мускуль? веб в одну клеть, мусю в другую, или держать в одной? и если распихивать, то как держать между ними связь при том что всего один ип?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kharkov_max]

1. Выносить mysql в отдельную клетку будет иметь смысл только тогда когда клеток использующих MYSQL будет несколько.

2. 1 Jail = 1 IP и по другому ни как.
Нужно найти способ добавить еще IP, для второй клетки, если нужно.

[dekloper]

Нужно найти способ добавить еще IP, для второй клетки, если нужно.

да че его искать?
вон их скока 127.0.0.2/24
ну и нгинкс - на фронт, который с одним ип-шником..

[kharkov_max]

Нужно найти способ добавить еще IP, для второй клетки, если нужно.

да че его искать?
вон их скока 127.0.0.2/24
ну и нгинкс - на фронт, который с одним ип-шником..

Не буду врать, т.к. не пробовал, но вроде как jail на localhost не работает

[dekloper]

Не буду врать, т.к. не пробовал, но вроде как jail на localhost не работает

бряхня
под локалхостом все тока идиницу почемуто подразумевают..

Код: Выделить всё

root@titan:/usr/ports # jls
   JID  IP Address      Hostname                      Path
    44  192.168.221.252 web                           /usr/jails/web
    45  192.168.221.251 icq2                          /usr/jails/icq2
    46  192.168.221.250 icq                           /usr/jails/icq
    47  127.0.0.2       mail                          /usr/jails/mail
root@titan:/usr/ports # sockstat -4l | grep tcp
root     sshd       52147 4  tcp4   127.0.0.2:22          *:*
root     sshd       52949 4  tcp4   192.168.221.250:22    *:*

[kharkov_max]

Хммм ... интерестно ...
Для постера это идеальный вариант ...
Спасибо за инфу ...

А как к этому ipfw относится и т.д. нет заморочек ?

[FreeBSP]

спасибо откликнувшимся!

а чего ему. на lo0 же 127,0,0,1/8 висит, остальное по умолчанию блочится, но если добавить альяс на ло0 - блочиться не будет.
хочу попробовать пробрасывать порты в клетки из хост-системы, а в сами клети и нжинХ и апач
сегодня буду делать, отпишусь о результатах

[dekloper]

А как к этому ipfw относится и т.д. нет заморочек ?

да какая ему к фигу разница, тцп-стек мы же не переделываем..

спасибо откликнувшимся!

а чего ему. на lo0 же 127,0,0,1/8 висит, остальное по умолчанию блочится, но если добавить альяс на ло0 - блочиться не будет.
хочу попробовать пробрасывать порты в клетки из хост-системы, а в сами клети и нжинХ и апач
сегодня буду делать, отпишусь о результатах

ну не обязательно на ло вешать, имя интерфейса может и проверяться гденибудь..
нюансы могут быть с мультиайпи, фибами.. ну это и понятно..

[FreeBSP]

под локалхостом все тока идиницу почемуто подразумевают..

127,0,0,2 альясом на ло0?

[ev]

можно еще 10.x.x.x заюзать

[FreeBSP]

клети 127.0.0.2 и 127.0.0.3 альясом на ло0 работают, файером пробрасываем им порты и натим их
только проблема - апача из клети выдает ошибки с размером, судя по всему, при выдаче контента чанками, на хост системе все норм. пока не разобрался

[ыть]

127,0,0,2 альясом на ло0?

я на физику вешал, но думаю не принципиально..

только проблема - апача из клети выдает ошибки с размером, судя по всему, при выдаче контента чанками, на хост системе все норм. пока не разобрался

не понял, чо за ошибка.. и какая связь с тем, что оно в клетке?

[Alex Keda]

Код: Выделить всё

bkp0# ifconfig | grep mtu
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
em1: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384

вопросы? замечания? предложения?

[FreeBSP]

Спасибо, сегодня попробую повесить клеть альясом на физику

[Bayerische]

Обновлять потом все клетки не запаритесь?

[FreeBSP]

клеть с альясом на em0 вообще не доступна из инета, файер такой

Код: Выделить всё

root@photo:~ # ipfw show 
00100   296   49798 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00235   264   17949 nat 1 ip from 10.0.0.2 to any out via em0
00265   351   21816 nat 1 ip from 10.0.0.3 to any out via em0
00300     0       0 deny ip from 127.0.0.0/8 to any
00400     0       0 deny ip from any to ::1
00500     0       0 deny ip from ::1 to any
00600     0       0 allow ipv6-icmp from :: to ff02::/16
00700     0       0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800     0       0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900     0       0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000     0       0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100   549   46116 allow icmp from 213.133.113.82,213.133.113.83,213.133.113.84,213.133.113.85,213.133.113.86 to me // monitoring
01200  1451  136988 allow ip from MY_IP to me dst-port 22
01300  1576  312440 allow ip from me 22 to MY_IP
01400     2     120 allow ip from MY_IP to me dst-port 3306
01500     2      80 allow ip from me 3306 to MY_IP
01600 16410 1343739 nat 1 ip from any to SRV_IP in via em0
01700     0       0 allow ip from MY_IP to me
01800  2906  154124 allow ip from me to MY_IP
01900 28635 1470575 allow ip from me to any
65535 15877  824813 deny ip from any to any

Код: Выделить всё

root@photo:~ # sysctl net.inet.ip.fw.one_pass
net.inet.ip.fw.one_pass: 1

Код: Выделить всё

root@photo:~ # jls
   JID  IP Address      Hostname                      Path
     1  10.0.0.2        www                           /usr/jails/www
     2  10.0.0.3        db                            /usr/jails/db

Код: Выделить всё

root@photo:~ # ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=0.015 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.014 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=0.014 ms
^C
--- 10.0.0.2 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.014/0.014/0.015/0.000 ms
root@photo:~ #

Код: Выделить всё

${fwcmd} nat 1 config if $ext_if ip $ext_ip redirect_port tcp ${www_jail_ip}:www www 

при попытках лезть куда-то из клетки, или наоборот снаружи на www, счетчики на deny all не растут
в чем может быть проблема?
пока руководство планирует использовать дедик до осени, что снимает вопрос обновлений