On 29.1.2010, at 22:09, Dan Lukes wrote:
> On 01/29/10 18:32, Miroslav Prýmek:
>> Druhym ucelem je to, ze chci mit (relativne) neduveryhodneho spravce jailu,
>> takze by se mi
>> potencialne hodilo omezit, co muze a nemuze na siti provadet.
>
> No, az takovou duveru jsem v jail nikdy neziskal,
On 01/29/10 18:32, Miroslav Prýmek:
Druhym ucelem je to, ze chci mit (relativne) neduveryhodneho spravce jailu,
takze by se mi
potencialne hodilo omezit, co muze a nemuze na siti provadet.
No, az takovou duveru jsem v jail nikdy neziskal, abych mel dojem, ze me
ochrani pred nekym, kdo nechce,
On 29.1.2010, at 16:56, Zbyněk Burget wrote:
>
>>
>>
>> Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.
>
> Ano, jen netusim, k cemu bys ten packet blokoval. Stejne tak mi prijde divne
> to, co vlastne chces blokovat z tech jailu. Porad to na mne dela dojem, ze
> resi
Dan Lukes wrote:
On 01/29/10 12:34, Miroslav Prýmek:
Takze jestli to spravne chapu, paket smerujici z jailu dostane jako
zdrojovou adresu lo1 (tu, kterou vidi),
Ja ti ani nevim, jestli ten interface vidi. Ja mel dojem, ze jail vidi
jednu jedinou IP adresu "nevidi" dokonce ani lo0 a jeho 127.0.
On 01/29/10 12:34, Miroslav Prýmek:
Takze jestli to spravne chapu, paket smerujici z jailu dostane jako zdrojovou
adresu lo1 (tu, kterou vidi),
Ja ti ani nevim, jestli ten interface vidi. Ja mel dojem, ze jail vidi
jednu jedinou IP adresu "nevidi" dokonce ani lo0 a jeho 127.0.0.1
ale pres
Dne 29.1.2010 12:34, Miroslav Prýmek napsal(a):
Takze kdyz budu mit pocitac s interfacem fxp0 s adresou 10.0.0.1 a sshcko
poslouchajici na vsech
adresach, tak kdyz spustim na tom pocitaci telnet 10.0.0.1 22, tak ten paket
nebude vubec filtrovatelnej
pravidlem, ktery by uvadelo, ze funguje na
On 29.1.2010, at 13:03, Miroslav Lachman wrote:
> Miroslav Prýmek wrote:
>
> No a proto uz jsem predtim psal, ze takove veci lepsi v pravidlech PF mit
> podle IP adres.
Ok. Kdyz ja si vzdycky potrebuju vyzkouset, proc...
>>
>> Trochu jsem googloval "FreeBSD network stack" "freebsd kernel int
Miroslav Prýmek wrote:
[...]
Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.
No a proto uz jsem predtim psal, ze takove veci lepsi v pravidlech PF
mit podle IP adres.
(i kdyz porad me zajima, jak presne to cely teda funguje...)
Na to je potreba si namalovat pruch
On 29.1.2010, at 11:43, Dan Lukes wrote:
> On 01/29/10 08:23, Miroslav Prýmek:
>> 1. spojeni, ktery odchazi ze stroje (a je jedno! jestli z jailu nebo
>> ne-jailu) vznika V KERNELU a jde
>>pres to rozhrani, ktery smeruje danym smerem (pricemz se objevi v "out" a
>> ne v "in")
>
> Ano. A ne
On 01/29/10 08:23, Miroslav Prýmek:
1. spojeni, ktery odchazi ze stroje (a je jedno! jestli z jailu nebo ne-jailu)
vznika V KERNELU a jde
pres to rozhrani, ktery smeruje danym smerem (pricemz se objevi v "out" a ne v
"in")
Ano. A nejde dokonce o spojeni, ale proste o jakykoliv odchazejici
On 28.1.2010, at 22:41, Miroslav Lachman wrote:
>
> No to byl ale prave ten nejpodstatnejsi radek ;o)
>
Prave ze ne - bez natovani se to chova stejne (viz P.S. v predchozim mailu).
>
>
> Tady jsou totiz dva problemy zaroven, jak jsem linkoval odkaz na PF, tak PF
> to nejprve prelozi - tedy u
Miroslav Prýmek wrote:
On 28.1.2010, at 19:40, Miroslav Lachman wrote:
Miroslav Prýmek wrote:
[...]
Jenom pripominam, ze jsem mluvil o spojeni. ktere pochazi Z JAILU, takze
by melo prvne projit tap0 a potom fxp0 (kde se natuje).
V zaslanych pravidlech se neNATuje.
Omlovam se, vypadl mi
On 28.1.2010, at 19:40, Miroslav Lachman wrote:
> Miroslav Prýmek wrote:
>
> [...]
>
>> Jenom pripominam, ze jsem mluvil o spojeni. ktere pochazi Z JAILU, takze
>> by melo prvne projit tap0 a potom fxp0 (kde se natuje).
>
> V zaslanych pravidlech se neNATuje.
Omlovam se, vypadl mi tam jeden r
Miroslav Prýmek wrote:
[...]
Jenom pripominam, ze jsem mluvil o spojeni. ktere pochazi Z JAILU, takze
by melo prvne projit tap0 a potom fxp0 (kde se natuje).
V zaslanych pravidlech se neNATuje.
Mam trochu podezreni, ze nejak spatne chapu fungovani sitovyho stacku nebo co,
protoze jsem mel z
On 28.1.2010, at 17:49, Josef Hrabec wrote:
>> Cekal bych, ze spojeni z jailu do Internetu bude blokovany, protoze jde
>> pres tap0, ale neni tomu tak.
>>
>
> A je opravdu jiste, ze vubec pakety pres tap0 chodi? Poustel sis na tap0
> tcpdump? Je totiz mozne, ze pakety projdou firewallem pri pruc
Josef Hrabec wrote:
Nekdo to resi povesenim tech IP na lo0, ja jsem si na tohle vzdycky
delal lo1. S tap jsem to nezkousel.
Mohu se prosim zeptat, jakym mechanizmem se vytvari lo1?
ifconfig lo1 create
V /etc/rc.conf se to dela promennou
cloned_interfaces="lo1"
Mirek
--
FreeBSD mailing list
> Cekal bych, ze spojeni z jailu do Internetu bude blokovany, protoze jde
> pres tap0, ale neni tomu tak.
>
A je opravdu jiste, ze vubec pakety pres tap0 chodi? Poustel sis na tap0
tcpdump? Je totiz mozne, ze pakety projdou firewallem pri pruchodu pres
fyzicke rozhrani (v tvem pripade fxp0) a dale
>> Vytvoril jsem si tap rozhrani, na ktere ty jaily vesim (veseni na lo se
>> mi nejak nezda).
>
> Nekdo to resi povesenim tech IP na lo0, ja jsem si na tohle vzdycky
> delal lo1. S tap jsem to nezkousel.
>
Mohu se prosim zeptat, jakym mechanizmem se vytvari lo1?
Diky,
Pepa.
--
FreeBSD mail
Miroslav Prýmek wrote:
[...]
Vytvoril jsem si tap rozhrani, na ktere ty jaily vesim (veseni na lo se mi
nejak nezda).
Nekdo to resi povesenim tech IP na lo0, ja jsem si na tohle vzdycky
delal lo1. S tap jsem to nezkousel.
rc.conf:
cloned_interfaces="tap0"
ifconfig_tap0="10.0.1.1 netmask
>>
>> Pokud se v jailech ma provozovat verejne dostupna sluzba, pak bude to
>> NATovani asi rozumnym resenim.
>>
>> Myslim, ze lze spoustet i vice jailu na stejne IP, ale pak si zase clovek
>> musi lepe pohlidat, aby si omylem ve vice jailech nepustil sluzbu na stejnem
>> portu - treba ssh (do
On 21.1.2010 12:04, Miroslav Lachman wrote:
Miroslav Prýmek wrote:
potreboval bych rozbehnout jeden testovaci stroj s nekolika jaily (z
administrativnich a bezpecnostnich
duvodu), jenze stroj bude mit jenom jednu vnejsi (verejnou) IP.
Chci se jen pro jistotu zeptat zkusenych harcovniku, jestli
Miroslav Prýmek wrote:
Zdravim,
potreboval bych rozbehnout jeden testovaci stroj s nekolika jaily (z
administrativnich a bezpecnostnich
duvodu), jenze stroj bude mit jenom jednu vnejsi (verejnou) IP.
Chci se jen pro jistotu zeptat zkusenych harcovniku, jestli standardni reseni
je dat tem jail
Zdravim,
potreboval bych rozbehnout jeden testovaci stroj s nekolika jaily (z
administrativnich a bezpecnostnich
duvodu), jenze stroj bude mit jenom jednu vnejsi (verejnou) IP.
Chci se jen pro jistotu zeptat zkusenych harcovniku, jestli standardni reseni
je dat tem jailum
neverejne IP a natovat
23 matches
Mail list logo
