Petr Fischer wrote on 06/29/2016 16:44:
Jde mi o kontrolu pristupu k CPU, RAM a SWAPu (pokud se tedy neda hodne RAM a
SWAP se nezakaze)..
Da se skutecne pomoci rctl/cpuset (dalsich) jaily rozumne ridit - nebo se obsahu jailu
stale musi spise "duverovat"?
Nekoho uplne ciziho bych do takoveh
Ano cestou "virtualizace pro chude" (mnoho verejnych IP na em0) se vydam. Ta
"lehkost" jailu se mi libi tuze a ted si nemuzu odpustit otazku, jak u takoveto
virtualizace/izolace resite pristup ke zdrojum, pokud treba nektere jaily maji
tendenci se "urvat" (zblazni se java server a rekne se o vse
Ahoj,
On 06/28/2016 10:03 PM, Dan Lukes wrote:
> Vilem Kebrt wrote:
>> Na devitce to fungovalo, na desitce se neda nastavit default routa v
>> jailu (bere to z hlavni routovaci tabule)
>
> Ja Jaily nepouzivam, a nakonec ani vicecetne FIB, ale pokud tam oboji
> mas, dovedu si predstavit, ze by sprav
Vilem Kebrt wrote:
Na devitce to fungovalo, na desitce se neda nastavit default routa v
jailu (bere to z hlavni routovaci tabule)
Ja Jaily nepouzivam, a nakonec ani vicecetne FIB, ale pokud tam oboji
mas, dovedu si predstavit, ze by spravne nastaveni mohlo mit hacky.
Treba takovy sysctl net.
Na devitce to fungovalo, na desitce se neda nastavit default routa v
jailu (bere to z hlavni routovaci tabule) , takze nat ti nestaci.
Teoreticky by tomu mohl pomoci DNAT/SNAT , ale tim ztratis informaci o
originu spojeni.
Jinak na ostatni protokoly jsou taky proxy a v nejhorsim pripade (ja to
Petr Fischer wrote on 06/28/2016 18:22:
NAT mi ten provoz z jedný veřejný IP (na em0) do jailů (lo1, různá IP)
nezajisti?
Tady je dulezite vedet, jake sluzby a jak chces provozovat.
Jestli chces jailama oddelit sluzby od sebe a navenek je provozovat na
jedne verejne IP, pak ti staci do jedn
Pánové díky (oboum), to že mi to na host běží na všech IP (wildcard) sem si ve
3 ráno neuvědomil. Super.
Obě cesty jsou OK, že mi druhou cestou stačí lo1 pro všechny jaily je taky
dobrý, jen si nejsem jistej, jestli můžu hnát všechno přes proxy (to je tak na
HTTP/S ne?), NAT mi ten provoz z jed
Ahoj,
On 06/28/2016 09:54 AM, Miroslav Lachman wrote:
> Pe
> Vyjmenoval jsi spoustu moznosti, jak to resit, ale tu nejdulezitejsi
> jsi vynechal.
> Klidne muzes na hostitelskem stroji provozovat jakekoliv sluzby, ale
> vsechny musis nakonfigurovat tak, aby poslouchali jen na IP hostitele
> a ne n
Petr Fischer wrote on 06/28/2016 02:55:
Dejme tomu, ze na "host" stroji je sitovka em0 a ma IP 192.168.1.1.
Vytvorim pomoci ezjail novy jail a dam mu jail_*_ip="em0|192.168.1.100".
Vyjmenoval jsi spoustu moznosti, jak to resit, ale tu nejdulezitejsi jsi
vynechal.
Klidne muzes na hostitelskem
On 29.1.2010, at 16:56, Zbyněk Burget wrote:
>
>>
>>
>> Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.
>
> Ano, jen netusim, k cemu bys ten packet blokoval. Stejne tak mi prijde divne
> to, co vlastne chces blokovat z tech jailu. Porad to na mne dela dojem, ze
> resi
Dan Lukes wrote:
On 01/29/10 12:34, Miroslav Prýmek:
Takze jestli to spravne chapu, paket smerujici z jailu dostane jako
zdrojovou adresu lo1 (tu, kterou vidi),
Ja ti ani nevim, jestli ten interface vidi. Ja mel dojem, ze jail vidi
jednu jedinou IP adresu "nevidi" dokonce ani lo0 a jeho 127.0.
On 01/29/10 12:34, Miroslav Prýmek:
Takze jestli to spravne chapu, paket smerujici z jailu dostane jako zdrojovou
adresu lo1 (tu, kterou vidi),
Ja ti ani nevim, jestli ten interface vidi. Ja mel dojem, ze jail vidi
jednu jedinou IP adresu "nevidi" dokonce ani lo0 a jeho 127.0.0.1
ale pres
Dne 29.1.2010 12:34, Miroslav Prýmek napsal(a):
Takze kdyz budu mit pocitac s interfacem fxp0 s adresou 10.0.0.1 a sshcko
poslouchajici na vsech
adresach, tak kdyz spustim na tom pocitaci telnet 10.0.0.1 22, tak ten paket
nebude vubec filtrovatelnej
pravidlem, ktery by uvadelo, ze funguje na
On 29.1.2010, at 13:03, Miroslav Lachman wrote:
> Miroslav Prýmek wrote:
>
> No a proto uz jsem predtim psal, ze takove veci lepsi v pravidlech PF mit
> podle IP adres.
Ok. Kdyz ja si vzdycky potrebuju vyzkouset, proc...
>>
>> Trochu jsem googloval "FreeBSD network stack" "freebsd kernel int
Miroslav Prýmek wrote:
[...]
Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.
No a proto uz jsem predtim psal, ze takove veci lepsi v pravidlech PF
mit podle IP adres.
(i kdyz porad me zajima, jak presne to cely teda funguje...)
Na to je potreba si namalovat pruch
On 29.1.2010, at 11:43, Dan Lukes wrote:
> On 01/29/10 08:23, Miroslav Prýmek:
>> 1. spojeni, ktery odchazi ze stroje (a je jedno! jestli z jailu nebo
>> ne-jailu) vznika V KERNELU a jde
>>pres to rozhrani, ktery smeruje danym smerem (pricemz se objevi v "out" a
>> ne v "in")
>
> Ano. A ne
On 01/29/10 08:23, Miroslav Prýmek:
1. spojeni, ktery odchazi ze stroje (a je jedno! jestli z jailu nebo ne-jailu)
vznika V KERNELU a jde
pres to rozhrani, ktery smeruje danym smerem (pricemz se objevi v "out" a ne v
"in")
Ano. A nejde dokonce o spojeni, ale proste o jakykoliv odchazejici
On 28.1.2010, at 22:41, Miroslav Lachman wrote:
>
> No to byl ale prave ten nejpodstatnejsi radek ;o)
>
Prave ze ne - bez natovani se to chova stejne (viz P.S. v predchozim mailu).
>
>
> Tady jsou totiz dva problemy zaroven, jak jsem linkoval odkaz na PF, tak PF
> to nejprve prelozi - tedy u
Miroslav Prýmek wrote:
On 28.1.2010, at 19:40, Miroslav Lachman wrote:
Miroslav Prýmek wrote:
[...]
Jenom pripominam, ze jsem mluvil o spojeni. ktere pochazi Z JAILU, takze
by melo prvne projit tap0 a potom fxp0 (kde se natuje).
V zaslanych pravidlech se neNATuje.
Omlovam se, vypadl mi
On 28.1.2010, at 19:40, Miroslav Lachman wrote:
> Miroslav Prýmek wrote:
>
> [...]
>
>> Jenom pripominam, ze jsem mluvil o spojeni. ktere pochazi Z JAILU, takze
>> by melo prvne projit tap0 a potom fxp0 (kde se natuje).
>
> V zaslanych pravidlech se neNATuje.
Omlovam se, vypadl mi tam jeden r
Miroslav Prýmek wrote:
[...]
Jenom pripominam, ze jsem mluvil o spojeni. ktere pochazi Z JAILU, takze
by melo prvne projit tap0 a potom fxp0 (kde se natuje).
V zaslanych pravidlech se neNATuje.
Mam trochu podezreni, ze nejak spatne chapu fungovani sitovyho stacku nebo co,
protoze jsem mel z
On 28.1.2010, at 17:49, Josef Hrabec wrote:
>> Cekal bych, ze spojeni z jailu do Internetu bude blokovany, protoze jde
>> pres tap0, ale neni tomu tak.
>>
>
> A je opravdu jiste, ze vubec pakety pres tap0 chodi? Poustel sis na tap0
> tcpdump? Je totiz mozne, ze pakety projdou firewallem pri pruc
Josef Hrabec wrote:
Nekdo to resi povesenim tech IP na lo0, ja jsem si na tohle vzdycky
delal lo1. S tap jsem to nezkousel.
Mohu se prosim zeptat, jakym mechanizmem se vytvari lo1?
ifconfig lo1 create
V /etc/rc.conf se to dela promennou
cloned_interfaces="lo1"
Mirek
--
FreeBSD mailing list
> Cekal bych, ze spojeni z jailu do Internetu bude blokovany, protoze jde
> pres tap0, ale neni tomu tak.
>
A je opravdu jiste, ze vubec pakety pres tap0 chodi? Poustel sis na tap0
tcpdump? Je totiz mozne, ze pakety projdou firewallem pri pruchodu pres
fyzicke rozhrani (v tvem pripade fxp0) a dale
>> Vytvoril jsem si tap rozhrani, na ktere ty jaily vesim (veseni na lo se
>> mi nejak nezda).
>
> Nekdo to resi povesenim tech IP na lo0, ja jsem si na tohle vzdycky
> delal lo1. S tap jsem to nezkousel.
>
Mohu se prosim zeptat, jakym mechanizmem se vytvari lo1?
Diky,
Pepa.
--
FreeBSD mail
Miroslav Prýmek wrote:
[...]
Vytvoril jsem si tap rozhrani, na ktere ty jaily vesim (veseni na lo se mi
nejak nezda).
Nekdo to resi povesenim tech IP na lo0, ja jsem si na tohle vzdycky
delal lo1. S tap jsem to nezkousel.
rc.conf:
cloned_interfaces="tap0"
ifconfig_tap0="10.0.1.1 netmask
>>
>> Pokud se v jailech ma provozovat verejne dostupna sluzba, pak bude to
>> NATovani asi rozumnym resenim.
>>
>> Myslim, ze lze spoustet i vice jailu na stejne IP, ale pak si zase clovek
>> musi lepe pohlidat, aby si omylem ve vice jailech nepustil sluzbu na stejnem
>> portu - treba ssh (do
On 21.1.2010 12:04, Miroslav Lachman wrote:
Miroslav Prýmek wrote:
potreboval bych rozbehnout jeden testovaci stroj s nekolika jaily (z
administrativnich a bezpecnostnich
duvodu), jenze stroj bude mit jenom jednu vnejsi (verejnou) IP.
Chci se jen pro jistotu zeptat zkusenych harcovniku, jestli
Miroslav Prýmek wrote:
Zdravim,
potreboval bych rozbehnout jeden testovaci stroj s nekolika jaily (z
administrativnich a bezpecnostnich
duvodu), jenze stroj bude mit jenom jednu vnejsi (verejnou) IP.
Chci se jen pro jistotu zeptat zkusenych harcovniku, jestli standardni reseni
je dat tem jail
Radim Kolar napsal(a):
Zajimalo by mne zda nekdo pouziva vetsi pgsql v jailu, my s tim meli docela
velke problemy na serveru takze nakonec pgsqlko skoncilo na fyzicky oddelene
masine.
Je ovsem pravda ze napr. dspamova database dosahuje cca 12GB :-D
pgsql v jailu funguje, jen nejde spoustit pgsql
Martin Bily wrote:
Dobry den,
na jednom stroji mam okolo 20 jailu a ve ctyrech z nich bezi PostgreSQL.
Vesmes jde o velmi male databaze. Kazda z nich nasloucha na sve adrese a
portu 5432. Mival jsem se sdilenou pameti problemy, ktere se navenek
projevovaly jako jeji nedostatek (a nebo fragme
Dobry den,
na jednom stroji mam okolo 20 jailu a ve ctyrech z nich bezi PostgreSQL.
Vesmes jde o velmi male databaze. Kazda z nich nasloucha na sve adrese a
portu 5432. Mival jsem se sdilenou pameti problemy, ktere se navenek
projevovaly jako jeji nedostatek (a nebo fragmentace).
Od dob, kdy u
> Zajimalo by mne zda nekdo pouziva vetsi pgsql v jailu, my s tim meli docela
> velke problemy na serveru takze nakonec pgsqlko skoncilo na fyzicky oddelene
> masine.
> Je ovsem pravda ze napr. dspamova database dosahuje cca 12GB :-D
pgsql v jailu funguje, jen nejde spoustit pgsql ve vice jailech n
Jan Husar wrote:
> Jednoducho, prepises si konfiguraky ako inetd.conf, pripadne
> konfiguraky aplikacii ked ich nebezis cez inetd...
>
> http://www.onlamp.com/pub/a/bsd/2003/09/04/jails.html
Toto plati v globalnej zone, cize mimo jailu. V jailoch sa sluzby
binduju len na IP adresu prislusneho jai
Jednoducho, prepises si konfiguraky ako inetd.conf, pripadne
konfiguraky aplikacii ked ich nebezis cez inetd...
http://www.onlamp.com/pub/a/bsd/2003/09/04/jails.html
On 10/12/06, Robert Popelka <[EMAIL PROTECTED]> wrote:
> otazka: ako zabezpecis pri jailoch aby sa ti appl napr apache
> nebindoval
otazka: ako zabezpecis pri jailoch aby sa ti appl napr apache
nebindovali na * ? cize na vsetky ip .. a problem s multiip je tez ..
-
Robert Popelka (jimy)
mail : [EMAIL PROTECTED]
icq : 120 614 660
Radim Kolar wrote:
> On Fri, May 26, 2006 at 03:45:22PM +0200, Ondra Koutek
36 matches
Mail list logo
