freebsd 8 + jail + vlan + setfib ! Интересная проблема!
Добавлено: 2012-01-18 14:42:08
Доброго всем денечка! Я собрал довольно таки не простую схему на фряхе. Многие скажут почему на ней, ну вот захотел именно на ней. Так что прошу совета по существу , а не говорить чтоб поменять ОСь.
Итак приступим. Имеется freebsd 8.2 . У неё 2 интерфейса bce0 и bce1 . Один смотрит в инет и на нем реальный айпишник, он нас в данном случае не интересует. Второй (bce0) смотрит в локалку, на нем локальный айпишник и еще я повесил пару айпишников локальных, сейчас расскажу для чего.
Итак. На сервере поднято несколько vlan интерфейсов и jail'ов .Каждому jail я повесил айпишник интерфейса vlan'a, у каждого jail своя таблица маршрутизации , реализовал я это через setfib и потом прикрутил к jail через jail_name_fib="number" . Тут я думаю все понятно. То есть каждый jail крутится в своем vrf с своей таблицей маршрутизации и никому не мешает. Это все работает замечательно и отлично! 
вот что в конфиге касательного описанного:
Весь конфиг кидать не буду ибо много и не нужно, это вся схема работает НА УРА! Проблема дальше.
Далее... Мне надо как то попасть из локальной сети в данном случае их (192.168.25.0/24) в jail. Пока туда доступа нет. Как известно в 8 версии реализовали фичу, что можно несколько айпишников вешать на jail. Но что я выяснил.
1. Вначале я хотел повесить туда им айпишник 192.168.25.81 как второй на все jail'ы но не тут то было, они перестали запускаться. То есть как я понял второй айпишник должен быть везде разный, для этого я и навесил алиасы на интерфейс , о чем говорилось выше. Ладно пусть будут разные айпишники, мне не жалко. Итак:
Казалось бы вот оно счастье близко. Все работает как надо , я попадаю и из локалки в jail и из основной сети для каждого jail. А вот теперь пришло время основного вопроса!
Вся эта схема работает именно из сети (192.168.25.0/24) , из локальной сети (192.168.0.0/16) например с айпишника 192.168.63.2 не удается попасть в jail по айпишнику 192.168.25.84 . Я не понимаю почему так , почему из сети /24 все работает а из других под сетей нет. Я как понимаю что перекидывает на айпишник 192.168.25.81 все запросы. Как бы это убрать ? Поднимать ipfw nat ? Что это даст? Подскажите как действовать в конкретной ситуации? Я нашел "баг или фичу" ? Никаких ipfw щас не поднято, я ядро даже собирал без его поддержки! У кого какие мысли есть по этому поводу?
Итак приступим. Имеется freebsd 8.2 . У неё 2 интерфейса bce0 и bce1 . Один смотрит в инет и на нем реальный айпишник, он нас в данном случае не интересует. Второй (bce0) смотрит в локалку, на нем локальный айпишник и еще я повесил пару айпишников локальных, сейчас расскажу для чего.
Код: Выделить всё
# ifconfig
bce0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=c01bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,VLAN_HWTSO,LINKSTATE>
ether e4:1f:13:45:a3:48
inet 192.168.25.81 netmask 0xffffff00 broadcast 192.168.25.255
inet 192.168.25.83 netmask 0xffffff00 broadcast 192.168.25.255
inet 192.168.25.84 netmask 0xffffff00 broadcast 192.168.25.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: activeвот что в конфиге касательного описанного:
Код: Выделить всё
ifconfig_bce0="inet 192.168.25.81 netmask 255.255.255.0"
ifconfig_bce0_alias0="inet 192.168.25.83 netmask 255.255.255.0"
ifconfig_bce0_alias1="inet 192.168.25.84 netmask 255.255.255.0"
cloned_interfaces="vlan1 vlan2"
ifconfig_vlan1="inet 10.224.3.66 netmask 255.255.255.252 vlan 1 vlandev bce0"
ifconfig_vlan2="inet 10.34.127.250 netmask 255.255.255.252 vlan 2 vlandev bce0"
setfib3_enable="YES"
setfib3_defaultroute="10.224.3.65"
setfib4_enable="YES"
setfib4_defaultroute="10.34.127.249"
jail_enable="YES"
jail_list="vlan1 vlan2"
jail_vlan1_rootdir="/usr/home/jail_vlan1"
jail_vlan1_hostname="vlan1"
jail_vlan1_ip="10.224.3.66"
jail_vlan1_devfs_enable="YES"
jail_vlan1_fib="3"
###############################
jail_vlan2_rootdir="/usr/home/jail_vlan2"
jail_vlan2_hostname="vlan2"
jail_vlan2_ip="10.34.127.250"
jail_vlan2_devfs_enable="YES"
jail_vlan2_fib="4"
Далее... Мне надо как то попасть из локальной сети в данном случае их (192.168.25.0/24) в jail. Пока туда доступа нет. Как известно в 8 версии реализовали фичу, что можно несколько айпишников вешать на jail. Но что я выяснил.
1. Вначале я хотел повесить туда им айпишник 192.168.25.81 как второй на все jail'ы но не тут то было, они перестали запускаться. То есть как я понял второй айпишник должен быть везде разный, для этого я и навесил алиасы на интерфейс , о чем говорилось выше. Ладно пусть будут разные айпишники, мне не жалко. Итак:
Код: Выделить всё
jail_vlan1_rootdir="/usr/home/jail_vlan1"
jail_vlan1_hostname="vlan1"
jail_vlan1_ip="10.224.3.66,192.168.25.83"
jail_vlan1_devfs_enable="YES"
jail_vlan1_fib="3"
###############################
jail_vlan2_rootdir="/usr/home/jail_vlan2"
jail_vlan2_hostname="vlan2"
jail_vlan2_ip="10.34.127.250,192.168.25.84"
jail_vlan2_devfs_enable="YES"
jail_vlan2_fib="4"Вся эта схема работает именно из сети (192.168.25.0/24) , из локальной сети (192.168.0.0/16) например с айпишника 192.168.63.2 не удается попасть в jail по айпишнику 192.168.25.84 . Я не понимаю почему так , почему из сети /24 все работает а из других под сетей нет. Я как понимаю что перекидывает на айпишник 192.168.25.81 все запросы. Как бы это убрать ? Поднимать ipfw nat ? Что это даст? Подскажите как действовать в конкретной ситуации? Я нашел "баг или фичу" ? Никаких ipfw щас не поднято, я ядро даже собирал без его поддержки! У кого какие мысли есть по этому поводу?