Страница 1 из 2
Jail никакой сетки кроме пингов
Добавлено: 2009-10-14 23:45:47
chillivilli
Код: Выделить всё
FreeBSD zlon.local 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Wed Jul 15 16:22:48 MSD 2009 west@zlon:/usr/obj/usr/src/sys/WESTGATE3 amd64
поднята #, но ничего кроме пингов не работает, порты не обновить, вообще ничего..аналогичный на 100 процентов конфиг на 32 битке работает на ура, помогите разобраться
ifconfig в тюрьме
Код: Выделить всё
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
ether 00:15:17:82:6b:91
inet 192.168.1.185 netmask 0xffffffff broadcast 192.168.1.185
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
кусок rc.conf
Код: Выделить всё
ifconfig_em1="inet 192.168.1.248 netmask 255.255.255.0"
ifconfig_em1_alias0="inet 192.168.1.185 netmask 255.255.255.255"
#jails
jail_enable="YES"
jail_list="web"
jail_web_rootdir="/var/jails/web"
jail_web_hostname="web.host"
jail_web_ip="192.168.1.185"
jail_web_interface="em1"
jail_web_devfs_enable="YES"
jail_web_exec_start="/bin/sh /etc/rc"
jail_web_exec_stop="/bin/sh /etc/rc.shutdown"
ядерный нат ipfw, igb0 - внешняя сетевуха
Код: Выделить всё
00010 allow ip from any to any via em1
00020 allow ip from any to any via em0
00030 allow ip from any to any via lo0
00040 nat 123 ip from 192.168.1.0/24 to any out via igb0
00050 nat 123 log logamount 100 ip from any to any in via igb0
00100 allow ip from any to any
65535 allow ip from any to any
из под # можно пингануть всю 192.168.1.0/24 любой хост в инете, но например fetch не работает вообще, подвисает и по таймауту отваливается...
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-15 8:56:01
princeps
чувак, либо ты что-то путаешь, либо я что-то неправильно понял. Вроде из jail'а пинг не должен работать.
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-15 10:00:41
chillivilli
не, все работает если на материнской системе разрешить рав сокеты security.jail.allow_raw_sockets=1
у кого какие есть идеи, почему пинги везде ходят, а как только пытаюсь что-то скачать - отваливается по тайм ауту
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-15 18:29:30
chillivilli
неужели никто не сталкивался с таким
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-15 19:28:02
princeps
/etc/resolv.conf в джейле
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-15 19:33:32
chillivilli
Код: Выделить всё
web# cat /etc/resolv.conf
nameserver 192.168.1.248
nameserver 84.52.107.107
Код: Выделить всё
web# nslookup ya.ru
Server: 192.168.1.248
Address: 192.168.1.248#53
Non-authoritative answer:
Name: ya.ru
Address: 77.88.21.8
Name: ya.ru
Address: 93.158.134.8
Name: ya.ru
Address: 213.180.204.8
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-16 8:18:10
princeps
ну хз. tcpdump юзай на хост-машине.
сто пудов где-то какую-нибудь запятую забыл
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-16 11:55:47
chillivilli
да в том то и дело что все перепроверил.. но проблему так и не нашел
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-16 11:57:31
manefesto
Код: Выделить всё
sysctl -a | grep jail | grep raw
security.jail.allow_raw_sockets: 1
не ???
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-16 12:27:35
princeps
так он вроде написал, что так и сделал
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-16 12:28:56
princeps
проверь tcpdump'ом на хост-системе, идут ли вообще пакеты из клетки
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-17 8:27:14
reLax
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-17 20:14:39
chillivilli
При в #
Код: Выделить всё
web# ping ya.ru
PING ya.ru (77.88.21.8): 56 data bytes
64 bytes from 77.88.21.8: icmp_seq=0 ttl=60 time=27.987 ms
64 bytes from 77.88.21.8: icmp_seq=1 ttl=60 time=24.944 ms
64 bytes from 77.88.21.8: icmp_seq=2 ttl=60 time=23.230 ms
В основной тишина
Код: Выделить всё
[Sat 21:08 root@zlon]/usr/home/west#tcpdump -netttvvvi em1 host 192.168.1.185
tcpdump: listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
так же и при portsnap fetch например, т.е пакетов тспдамп не видит вообще никаких
попробовал пингать из джейла один из серверов в сети 192.168.1.0/24, тспдам увидел эти пакеты в отличии от пинга внешних инет адресов.
Код: Выделить всё
1. 005801 00:15:17:87:6b:91 > 00:50:fc:fe:a9:ae, ethertype IPv4 (0x0800), length 98: (tos 0x0, t tl 64, id 7691, offset 0, flags [none], proto ICMP (1), length 84) 192.168.1.185 > 192.168.1.1: ICMP echo request, id 19025, seq 1, length 64
000212 00:50:fc:fe:a9:ae > 00:15:17:87:6b:91, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 128, id 5464, offset 0, flags [none], proto ICMP (1), length 84) 192.168.1.1 > 192.168.1.185: IC MP echo reply, id 19025, seq 1, length 64
ничего не понмаю...
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-18 0:13:49
chillivilli
с помощью ezjail сделал еще пару клеток, все тоже самое - нет инета в них.
попробовал телнетнуься на порт портснапа -все ок
Код: Выделить всё
www# telnet portsnap1.freebsd.org 80
Trying 204.109.56.116...
Connected to portsnap1.freebsd.org.
Escape character is '^]'.
frfr
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>501 Method Not Implemented</title>
</head><body>
<h1>Method Not Implemented</h1>
<p>frfr to / not supported.<br />
</p>
</body></html>
Connection closed by foreign host.
но при попоытке portsnap fetch симптомы как в этой ветке...
http://forum.lissyara.su/viewtopic.php?f=8&t=14513
Код: Выделить всё
www# fetch -vvv http://www.softodrom.ru/ftp/4926/InstallAB.exe
scheme: [http]
user: []
password: []
host: [www.softodrom.ru]
port: [0]
document: [/ftp/4926/InstallAB.exe]
---> www.softodrom.ru:80
looking up www.softodrom.ru
connecting to www.softodrom.ru:80
requesting http://www.softodrom.ru/ftp/4926/InstallAB.exe
>>> GET /ftp/4926/InstallAB.exe HTTP/1.1
>>> Host: www.softodrom.ru
>>> User-Agent: fetch libfetch/2.0
>>> Connection: close
>>>
<<< fetch: http://www.softodrom.ru/ftp/4926/InstallAB.exe: Unknown error: 0
www#
куда копать что делать? из материнской ситемы такая команда проходит и все скачивается
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-18 16:30:28
princeps
на всякий случай спрошу: прокси-сервера у тебя нет?
и лог ната посмотри
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-18 22:35:36
chillivilli
нет, никакого прокси сервера. Прямой выход в инет
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-18 22:56:53
InventoR
Ага, мы заметили прямой выход.
Фаер?
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-19 16:35:35
chillivilli
сетевой провод выходит из сервера - идет в свитч с пулом внешних ипов, дальше оптика, правила фаера в первом посте
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-20 15:53:21
vadim64
Конечно тупейший вопрос, хотелось бы его анонимно задавать:
А что говорит traceroute????
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-20 22:26:06
chillivilli
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-22 11:30:20
chillivilli
все, больше ни у кого идей нет никаких?
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-22 17:10:50
princeps
подскажу идею - качать порты на хост-машине, а в jail монтировать через mount_nullfs
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-22 18:41:18
reLax
chillivilli писал(а):Код: Выделить всё
www# traceroute 192.168.1.1
traceroute: findsaddr: write: No such process
www# traceroute freebsd.org
traceroute: findsaddr: write: No such process
www#
нука /etc/rc.conf покажи в jail
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-22 20:39:14
chillivilli
Код: Выделить всё
www# cat /etc/rc.conf
defaultrouter="192.168.1.248"
только это прописано, да еще один момент в системе 6 сетевых карт, 2 были на борту - дрова подцепились с ядром - em карточки, а еще 4, это одна 4 портовая igb, дрова для которой ставил отдельно. Может это влиять каким-то образом на то, что из клетки не видно инета?
Re: Jail никакой сетки кроме пингов
Добавлено: 2009-10-23 6:57:49
reLax
хз...маска ?
Код: Выделить всё
ifconfig_em1_alias0="inet 192.168.1.185 netmask 255.255.255.255"
И еще, а ifconfig в jail'е самом какой ?