freebsd 8 + jail + vlan + setfib ! Интересная проблема!

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
frozz
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-03-23 17:48:59

freebsd 8 + jail + vlan + setfib ! Интересная проблема!

Непрочитанное сообщение frozz » 2012-01-18 14:42:08

Доброго всем денечка! Я собрал довольно таки не простую схему на фряхе. Многие скажут почему на ней, ну вот захотел именно на ней. Так что прошу совета по существу , а не говорить чтоб поменять ОСь.

Итак приступим. Имеется freebsd 8.2 . У неё 2 интерфейса bce0 и bce1 . Один смотрит в инет и на нем реальный айпишник, он нас в данном случае не интересует. Второй (bce0) смотрит в локалку, на нем локальный айпишник и еще я повесил пару айпишников локальных, сейчас расскажу для чего.

Код: Выделить всё

# ifconfig 
bce0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=c01bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,VLAN_HWTSO,LINKSTATE>
        ether e4:1f:13:45:a3:48
        inet 192.168.25.81 netmask 0xffffff00 broadcast 192.168.25.255
        inet 192.168.25.83 netmask 0xffffff00 broadcast 192.168.25.255
        inet 192.168.25.84 netmask 0xffffff00 broadcast 192.168.25.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
Итак. На сервере поднято несколько vlan интерфейсов и jail'ов .Каждому jail я повесил айпишник интерфейса vlan'a, у каждого jail своя таблица маршрутизации , реализовал я это через setfib и потом прикрутил к jail через jail_name_fib="number" . Тут я думаю все понятно. То есть каждый jail крутится в своем vrf с своей таблицей маршрутизации и никому не мешает. Это все работает замечательно и отлично! ;)
вот что в конфиге касательного описанного:

Код: Выделить всё

ifconfig_bce0="inet 192.168.25.81 netmask 255.255.255.0"
ifconfig_bce0_alias0="inet 192.168.25.83 netmask 255.255.255.0"
ifconfig_bce0_alias1="inet 192.168.25.84 netmask 255.255.255.0"

cloned_interfaces="vlan1 vlan2"

ifconfig_vlan1="inet 10.224.3.66 netmask 255.255.255.252 vlan 1 vlandev bce0" 
ifconfig_vlan2="inet 10.34.127.250 netmask 255.255.255.252 vlan 2 vlandev bce0" 

setfib3_enable="YES"
setfib3_defaultroute="10.224.3.65"

setfib4_enable="YES"
setfib4_defaultroute="10.34.127.249"

jail_enable="YES"
jail_list="vlan1 vlan2"

jail_vlan1_rootdir="/usr/home/jail_vlan1"      
jail_vlan1_hostname="vlan1"
jail_vlan1_ip="10.224.3.66"
jail_vlan1_devfs_enable="YES"
jail_vlan1_fib="3"
###############################
jail_vlan2_rootdir="/usr/home/jail_vlan2"
jail_vlan2_hostname="vlan2"
jail_vlan2_ip="10.34.127.250"
jail_vlan2_devfs_enable="YES"
jail_vlan2_fib="4"

Весь конфиг кидать не буду ибо много и не нужно, это вся схема работает НА УРА! Проблема дальше.

Далее... Мне надо как то попасть из локальной сети в данном случае их (192.168.25.0/24) в jail. Пока туда доступа нет. Как известно в 8 версии реализовали фичу, что можно несколько айпишников вешать на jail. Но что я выяснил.

1. Вначале я хотел повесить туда им айпишник 192.168.25.81 как второй на все jail'ы но не тут то было, они перестали запускаться. То есть как я понял второй айпишник должен быть везде разный, для этого я и навесил алиасы на интерфейс , о чем говорилось выше. Ладно пусть будут разные айпишники, мне не жалко. Итак:

Код: Выделить всё

jail_vlan1_rootdir="/usr/home/jail_vlan1"      
jail_vlan1_hostname="vlan1"
jail_vlan1_ip="10.224.3.66,192.168.25.83"
jail_vlan1_devfs_enable="YES"
jail_vlan1_fib="3"
###############################
jail_vlan2_rootdir="/usr/home/jail_vlan2"
jail_vlan2_hostname="vlan2"
jail_vlan2_ip="10.34.127.250,192.168.25.84"
jail_vlan2_devfs_enable="YES"
jail_vlan2_fib="4"
Казалось бы вот оно счастье близко. Все работает как надо , я попадаю и из локалки в jail и из основной сети для каждого jail. А вот теперь пришло время основного вопроса!

Вся эта схема работает именно из сети (192.168.25.0/24) , из локальной сети (192.168.0.0/16) например с айпишника 192.168.63.2 не удается попасть в jail по айпишнику 192.168.25.84 . Я не понимаю почему так , почему из сети /24 все работает а из других под сетей нет. Я как понимаю что перекидывает на айпишник 192.168.25.81 все запросы. Как бы это убрать ? Поднимать ipfw nat ? Что это даст? Подскажите как действовать в конкретной ситуации? Я нашел "баг или фичу" ? Никаких ipfw щас не поднято, я ядро даже собирал без его поддержки! У кого какие мысли есть по этому поводу?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

frozz
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-03-23 17:48:59

Re: freebsd 8 + jail + vlan + setfib ! Интересная проблема!

Непрочитанное сообщение frozz » 2012-01-18 17:16:10

извиняюсь ! забыл добавить что роут на 192.168.0.0/16 прописан, и из других под сетей на 25.81 айпишник доступ есть. Но меня интересует 25.84!

Код: Выделить всё

static_routes="Stub1"
route_Stub1="-net 192.168.0.0/16 192.168.25.110"

frozz
проходил мимо
Сообщения: 8
Зарегистрирован: 2008-03-23 17:48:59

Re: freebsd 8 + jail + vlan + setfib ! Интересная проблема!

Непрочитанное сообщение frozz » 2012-01-19 19:19:14

Вопрос снят! Сделал по другому! Все теперь в порядке! Если кого интересует эта тема , пишите! Подскажу!


iru
рядовой
Сообщения: 19
Зарегистрирован: 2010-06-13 0:24:28

Re: freebsd 8 + jail + vlan + setfib ! Интересная проблема!

Непрочитанное сообщение iru » 2012-02-06 22:23:39

телепаты в отпуске?

я могу предположить что SSH реальной машины перекрывает доступ для jail-ов, нужно на реальной точиле ограничить ssh определенным ip адресом, тк по дефолку он вешаеться на все ip которые есть на борту