webserver jail

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

webserver jail

Непрочитанное сообщение FreeBSP » 2014-06-10 18:52:20

как лучше раскидать распихивать апачу , нгинИКСом и мускуль? веб в одну клеть, мусю в другую, или держать в одной? и если распихивать, то как держать между ними связь при том что всего один ип?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: webserver jail

Непрочитанное сообщение kharkov_max » 2014-06-11 6:42:37

1. Выносить mysql в отдельную клетку будет иметь смысл только тогда когда клеток использующих MYSQL будет несколько.

2. 1 Jail = 1 IP и по другому ни как.
Нужно найти способ добавить еще IP, для второй клетки, если нужно.

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: webserver jail

Непрочитанное сообщение dekloper » 2014-06-11 7:11:10

kharkov_max писал(а):Нужно найти способ добавить еще IP, для второй клетки, если нужно.
да че его искать?
вон их скока 127.0.0.2/24 :oops:
ну и нгинкс - на фронт, который с одним ип-шником..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: webserver jail

Непрочитанное сообщение kharkov_max » 2014-06-11 8:36:11

dekloper писал(а):
kharkov_max писал(а):Нужно найти способ добавить еще IP, для второй клетки, если нужно.
да че его искать?
вон их скока 127.0.0.2/24 :oops:
ну и нгинкс - на фронт, который с одним ип-шником..
Не буду врать, т.к. не пробовал, но вроде как jail на localhost не работает :oops:

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: webserver jail

Непрочитанное сообщение dekloper » 2014-06-11 8:54:48

kharkov_max писал(а):Не буду врать, т.к. не пробовал, но вроде как jail на localhost не работает :oops:
бряхня :bn:
под локалхостом все тока идиницу почемуто подразумевают..

Код: Выделить всё

root@titan:/usr/ports # jls
   JID  IP Address      Hostname                      Path
    44  192.168.221.252 web                           /usr/jails/web
    45  192.168.221.251 icq2                          /usr/jails/icq2
    46  192.168.221.250 icq                           /usr/jails/icq
    47  127.0.0.2       mail                          /usr/jails/mail
root@titan:/usr/ports # sockstat -4l | grep tcp
root     sshd       52147 4  tcp4   127.0.0.2:22          *:*
root     sshd       52949 4  tcp4   192.168.221.250:22    *:*
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: webserver jail

Непрочитанное сообщение kharkov_max » 2014-06-11 9:16:58

Хммм ... интерестно ...
Для постера это идеальный вариант ...
Спасибо за инфу ...

А как к этому ipfw относится и т.д. нет заморочек ?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: webserver jail

Непрочитанное сообщение FreeBSP » 2014-06-11 9:39:36

спасибо откликнувшимся!

а чего ему. на lo0 же 127,0,0,1/8 висит, остальное по умолчанию блочится, но если добавить альяс на ло0 - блочиться не будет.
хочу попробовать пробрасывать порты в клетки из хост-системы, а в сами клети и нжинХ и апач
сегодня буду делать, отпишусь о результатах
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: webserver jail

Непрочитанное сообщение dekloper » 2014-06-11 10:21:37

kharkov_max писал(а):А как к этому ipfw относится и т.д. нет заморочек ?
да какая ему к фигу разница, тцп-стек мы же не переделываем.. :-D
FreeBSP писал(а):спасибо откликнувшимся!

а чего ему. на lo0 же 127,0,0,1/8 висит, остальное по умолчанию блочится, но если добавить альяс на ло0 - блочиться не будет.
хочу попробовать пробрасывать порты в клетки из хост-системы, а в сами клети и нжинХ и апач
сегодня буду делать, отпишусь о результатах
ну не обязательно на ло вешать, имя интерфейса может и проверяться гденибудь..
нюансы могут быть с мультиайпи, фибами.. ну это и понятно..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: webserver jail

Непрочитанное сообщение FreeBSP » 2014-06-11 17:37:01

dekloper писал(а):под локалхостом все тока идиницу почемуто подразумевают..
127,0,0,2 альясом на ло0?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

ev
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-07-27 17:11:30
Откуда: Москва

Re: webserver jail

Непрочитанное сообщение ev » 2014-06-11 18:23:31

можно еще 10.x.x.x заюзать

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: webserver jail

Непрочитанное сообщение FreeBSP » 2014-06-11 22:23:48

клети 127.0.0.2 и 127.0.0.3 альясом на ло0 работают, файером пробрасываем им порты и натим их
только проблема - апача из клети выдает ошибки с размером, судя по всему, при выдаче контента чанками, на хост системе все норм. пока не разобрался
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

ыть
проходил мимо

Re: webserver jail

Непрочитанное сообщение ыть » 2014-06-13 19:07:20

FreeBSP писал(а):127,0,0,2 альясом на ло0?
я на физику вешал, но думаю не принципиально..
FreeBSP писал(а):только проблема - апача из клети выдает ошибки с размером, судя по всему, при выдаче контента чанками, на хост системе все норм. пока не разобрался
не понял, чо за ошибка.. и какая связь с тем, что оно в клетке?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: webserver jail

Непрочитанное сообщение Alex Keda » 2014-06-13 21:23:42

Код: Выделить всё

bkp0# ifconfig | grep mtu
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
em1: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
вопросы? замечания? предложения?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: webserver jail

Непрочитанное сообщение FreeBSP » 2014-06-16 11:07:29

Спасибо, сегодня попробую повесить клеть альясом на физику
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: webserver jail

Непрочитанное сообщение Bayerische » 2014-06-16 11:19:23

Обновлять потом все клетки не запаритесь?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: webserver jail

Непрочитанное сообщение FreeBSP » 2014-06-17 12:52:35

клеть с альясом на em0 вообще не доступна из инета, файер такой

Код: Выделить всё

root@photo:~ # ipfw show 
00100   296   49798 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00235   264   17949 nat 1 ip from 10.0.0.2 to any out via em0
00265   351   21816 nat 1 ip from 10.0.0.3 to any out via em0
00300     0       0 deny ip from 127.0.0.0/8 to any
00400     0       0 deny ip from any to ::1
00500     0       0 deny ip from ::1 to any
00600     0       0 allow ipv6-icmp from :: to ff02::/16
00700     0       0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800     0       0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900     0       0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000     0       0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
01100   549   46116 allow icmp from 213.133.113.82,213.133.113.83,213.133.113.84,213.133.113.85,213.133.113.86 to me // monitoring
01200  1451  136988 allow ip from MY_IP to me dst-port 22
01300  1576  312440 allow ip from me 22 to MY_IP
01400     2     120 allow ip from MY_IP to me dst-port 3306
01500     2      80 allow ip from me 3306 to MY_IP
01600 16410 1343739 nat 1 ip from any to SRV_IP in via em0
01700     0       0 allow ip from MY_IP to me
01800  2906  154124 allow ip from me to MY_IP
01900 28635 1470575 allow ip from me to any
65535 15877  824813 deny ip from any to any

Код: Выделить всё

root@photo:~ # sysctl net.inet.ip.fw.one_pass
net.inet.ip.fw.one_pass: 1

Код: Выделить всё

root@photo:~ # jls
   JID  IP Address      Hostname                      Path
     1  10.0.0.2        www                           /usr/jails/www
     2  10.0.0.3        db                            /usr/jails/db

Код: Выделить всё

root@photo:~ # ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=64 time=0.015 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.014 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=0.014 ms
^C
--- 10.0.0.2 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.014/0.014/0.015/0.000 ms
root@photo:~ #

Код: Выделить всё

${fwcmd} nat 1 config if $ext_if ip $ext_ip redirect_port tcp ${www_jail_ip}:www www 
при попытках лезть куда-то из клетки, или наоборот снаружи на www, счетчики на deny all не растут
в чем может быть проблема?
пока руководство планирует использовать дедик до осени, что снимает вопрос обновлений
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!