URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 49921
[ Назад ]
Исходное сообщение
"Раздел полезных советов: Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено auto_tips , 26-Фев-09 00:56 
Сервер работает под управлением FreeBSD 7 и имеет два сетевых интерфейса:
один для интранет сети, другой для связи с внешними миром.

Задача: обеспечить доступность изолированного Jail для обоих сетей, несмотря на ограничение jail
по поддержке только одного интерфейса и одного IP.

Решение: через NAT организовать отправку всех запросов к адресам интранет сети 10.0.0.0/8.

В /etc/pf.conf на сервере прописываем:

   an_if="em0" # интерфейс интранет подсети
   lan_if_subnet="10.0.0.0/8"
   lan_if_ip="10.28.11.10" # IP на интранет интерфейсе em0
   jail_vps_server_ip="202.54.2.3" # Реальный IP, выделенный для Jail
   nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip

Перезапускаем PF через /etc/rc.d/pf reload


URL: http://www.cyberciti.biz/faq/use-private-lan-dns-servers-in-.../
Обсуждается: http://www.opennet.dev/tips/info/1959.shtml

Содержание
Сообщения в этом обсуждении
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено john doe , 26-Фев-09 00:56 
А binat не лучше в таких случаях? nat обеспечит исходящие пакеты, а каким образом пакеты извне попадут в jail?
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено Добрый Дохтур , 26-Фев-09 01:11 
какая сложная система костылей и подпорок и потенциальный DoS ;)
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено abigor , 26-Фев-09 04:12 
использовать Jail2 там несколько ip можно делать если память мне не изменяет
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено Аноним , 26-Фев-09 13:33 
бред какой-то ... А ведь кто-то еще и повторить написанное додумается ...

Зачем все это надо? Где тут "доступность" jail'а обеспечивается?

"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено Дмитрий , 26-Фев-09 17:14 
jail уже держит несколько ip
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено cvsup , 27-Фев-09 01:12 
+1
Появится это правда лишь в 7.2.
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено просто инфо , 27-Фев-09 11:56 
Вероятно автор забыл указать что "вырванный" кусок из пф конфига отвечает лишь за то что сам виртуальный сервер имел доступ к локальной сетке, а локальная сетка имеет доступ к нему через общее правило нат. В любом случае оригинальное решение. Вероятно если не стоят правила кип-стейт, программы что получают ответы вешаються.
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено PavelR , 01-Мрт-09 08:20 
А что, обычная маршрутизация по реальному айпи Jail-окружения из локалки и обратно не работает ?
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено fox , 22-Сен-09 23:37 
Люди добрые, а как сделать больше одного IP для jail уже во FreeBSD 7.2 ?????
"Проброс сети во FreeBSD Jail через NAT и PF"
Отправлено sekrett , 30-Май-16 13:41 
Тут не совсем правильный перевод с английского. Реализация хорошая, но для другой задачи. Речь идет о том, как на одном IP адресе запустить несколько джайлов, а не как несколько IP адресов прикрепить к одному джайлу. Автор писал о том, что у него в джайлах крутятся mysql, dns, почта. Видимо ему достаточно перенаправить порты для всех этих служб, а из инета все доступно с одного IP адреса. Я именно так и делаю, супер статья, но немного не дописана.