freebsd 9.2, souci de Jail

Le
patpro ~ patrick proniewski
Salut à tous,

Après plus de 13 ans passés à jouer avec FreeBSD, j'essaye pour la
première fois des jails (ezjail, ZFS, la totale).

J'ai produit assez rapidement une jail qui fonctionne, que je peux
pinguer, joindre par une connexion ssh, et au sein de la quelle la
résolution des noms de domaines fonctionne (mais je ne sors pas encore
sur internet).

J'ai positionné security.jail.allow_raw_sockets à 1 dans la machine
hôte, et j'ai relancé cette jail. Pourtant rien y fait :

$ ping free.fr
ping: socket: Operation not permitted

J'ai du rater un truc, mais dès que je cherche dans la doc ou dans
google, on me renvoie à security.jail.allow_raw_sockets qui est déjà
bien positionné chez moi.

une idée ?

patpro

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gérald Niel
Le #25853452
Le Dimanche 08 décembre 2013 à 21:51 UTC, patpro ~ patrick proniewski
écrivait sur fr.comp.os.bsd :

Après plus de 13 ans passés à jouer avec FreeBSD, j'essaye pour la
première fois des jails (ezjail, ZFS, la totale).



Bienvenue, je fais la même en ce moment !

J'ai positionné security.jail.allow_raw_sockets à 1 dans la machine
hôte, et j'ai relancé cette jail. Pourtant rien y fait :

$ ping free.fr
ping: socket: Operation not permitted

J'ai du rater un truc, mais dès que je cherche dans la doc ou dans
google, on me renvoie à security.jail.allow_raw_sockets qui est déjà
bien positionné chez moi.

une idée ?



Hé Hé !
J'ai bien galéré aussi avec ça !
Dans le syctl de l'hote, ça ne sert plus à rien.

Ça se passe dans /usr/local/etc/ezjail/name_of_jail :
export jail_nntp_parameters="allow.raw_sockets=1"

Pour ma part, je bloque sur le nat en IPV6 (sous 9.2, et 10.0-BETA4,
idem). Le ping fonctionne, mais pas les connexions TCP.
Je crois que ça viendrait de PF :
http://web.archiveorange.com/archive/v/2AdLp6AyiT7SDEdnxskw

@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
patpro ~ patrick proniewski
Le #25853622
In article Gérald Niel
Hé Hé !
J'ai bien galéré aussi avec ça !
Dans le syctl de l'hote, ça ne sert plus à rien.

Ça se passe dans /usr/local/etc/ezjail/name_of_jail :
export jail_nntp_parameters="allow.raw_sockets=1"



rahhhh les fourbes. Merci :)
Ça marche nickel.

Pour ma part, je bloque sur le nat en IPV6 (sous 9.2, et 10.0-BETA4,
idem). Le ping fonctionne, mais pas les connexions TCP.
Je crois que ça viendrait de PF :
http://web.archiveorange.com/archive/v/2AdLp6AyiT7SDEdnxskw



pas cool :/ mais là je vais pas pouvoir t'aider. L'ipv6 n'est pas encore
sur ma todolist.

patpro

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Gérald Niel
Le #25854312
Le Lundi 09 décembre 2013 à 07:47 UTC, patpro ~ patrick proniewski écrivait sur
fr.comp.os.bsd :

Ça se passe dans /usr/local/etc/ezjail/name_of_jail :
export jail_nntp_parameters="allow.raw_sockets=1"



rahhhh les fourbes. Merci :)



man jail(5) ;-)

Visibelement c'est le comportement des Jails qui a changé.
Par contre, on a accès qu'à un nombre limité de paramètre avec la conf
ezjail.
Je n'ai pas trouvé comment fixer les autres… (pas encore regardé le
souce du script de lancement)

pas cool :/ mais là je vais pas pouvoir t'aider. L'ipv6 n'est pas encore
sur ma todolist.



Théoriquement je n'ai qu'une IPV6 sur mon serveur OVH (KS 4G).
En pratique je peux définir plusieurs IP en /56 à l'intérieur du /64.
Mais je souhaiterais quand même isoler les jails sur un réseau local
comme en IPV4.

D'ailleurs z'ont modifié un truc dans leurs routeurs, parce que pour
que ça fonctionne je suis maintenant obligé de définir l'ip en /56.
En /128 comme ils le demandent, ça ne marche plus !

@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
patpro ~ patrick proniewski
Le #25854532
In article Gérald Niel
Le Lundi 09 décembre 2013 à 07:47 UTC, patpro ~ patrick proniewski écrivait
sur
fr.comp.os.bsd :

>> Ça se passe dans /usr/local/etc/ezjail/name_of_jail :
>> export jail_nntp_parameters="allow.raw_sockets=1"
>
> rahhhh les fourbes. Merci :)

man jail(5) ;-)



ha, je l'ai pas celui là, j'ai jail.conf en 5 ou jail en 8. Cela dit,
j'avais bien trouvé mention de fichiers type jail.conf, mais sans que
ezjail n'en fasse grand cas ni n'en crée aucun.
Puis j'ai comme d'habitude fait confiance au handbook, qui a visiblement
une génération de retard sur l'implémentation des jails.

Théoriquement je n'ai qu'une IPV6 sur mon serveur OVH (KS 4G).
En pratique je peux définir plusieurs IP en /56 à l'intérieur du /64.
Mais je souhaiterais quand même isoler les jails sur un réseau local
comme en IPV4.

D'ailleurs z'ont modifié un truc dans leurs routeurs, parce que pour
que ça fonctionne je suis maintenant obligé de définir l'ip en /56.
En /128 comme ils le demandent, ça ne marche plus !



j'ai jamais été un grand fan d'OVH, cela dit j'ai jamais été client chez
eux. Mais rien de ce que je peux lire sur leur compte, ou voir de mes
yeux, ne me donne envie d'y aller...

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Publicité
Poster une réponse
Anonyme