freebsd 9.2, souci de Jail
Le
patpro ~ patrick proniewski
Salut à tous,
Après plus de 13 ans passés à jouer avec FreeBSD, j'essaye pour la
première fois des jails (ezjail, ZFS, la totale).
J'ai produit assez rapidement une jail qui fonctionne, que je peux
pinguer, joindre par une connexion ssh, et au sein de la quelle la
résolution des noms de domaines fonctionne (mais je ne sors pas encore
sur internet).
J'ai positionné security.jail.allow_raw_sockets à 1 dans la machine
hôte, et j'ai relancé cette jail. Pourtant rien y fait :
$ ping free.fr
ping: socket: Operation not permitted
J'ai du rater un truc, mais dès que je cherche dans la doc ou dans
google, on me renvoie à security.jail.allow_raw_sockets qui est déjà
bien positionné chez moi.
une idée ?
patpro
--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Après plus de 13 ans passés à jouer avec FreeBSD, j'essaye pour la
première fois des jails (ezjail, ZFS, la totale).
J'ai produit assez rapidement une jail qui fonctionne, que je peux
pinguer, joindre par une connexion ssh, et au sein de la quelle la
résolution des noms de domaines fonctionne (mais je ne sors pas encore
sur internet).
J'ai positionné security.jail.allow_raw_sockets à 1 dans la machine
hôte, et j'ai relancé cette jail. Pourtant rien y fait :
$ ping free.fr
ping: socket: Operation not permitted
J'ai du rater un truc, mais dès que je cherche dans la doc ou dans
google, on me renvoie à security.jail.allow_raw_sockets qui est déjà
bien positionné chez moi.
une idée ?
patpro
--
photo http://photo.patpro.net/
blog http://www.patpro.net/
écrivait sur fr.comp.os.bsd :
Bienvenue, je fais la même en ce moment !
Hé Hé !
J'ai bien galéré aussi avec ça !
Dans le syctl de l'hote, ça ne sert plus à rien.
Ça se passe dans /usr/local/etc/ezjail/name_of_jail :
export jail_nntp_parameters="allow.raw_sockets=1"
Pour ma part, je bloque sur le nat en IPV6 (sous 9.2, et 10.0-BETA4,
idem). Le ping fonctionne, mais pas les connexions TCP.
Je crois que ça viendrait de PF :
http://web.archiveorange.com/archive/v/2AdLp6AyiT7SDEdnxskw
@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
rahhhh les fourbes. Merci :)
Ça marche nickel.
pas cool :/ mais là je vais pas pouvoir t'aider. L'ipv6 n'est pas encore
sur ma todolist.
patpro
--
photo http://photo.patpro.net/
blog http://www.patpro.net/
fr.comp.os.bsd :
man jail(5) ;-)
Visibelement c'est le comportement des Jails qui a changé.
Par contre, on a accès qu'à un nombre limité de paramètre avec la conf
ezjail.
Je n'ai pas trouvé comment fixer les autres… (pas encore regardé le
souce du script de lancement)
Théoriquement je n'ai qu'une IPV6 sur mon serveur OVH (KS 4G).
En pratique je peux définir plusieurs IP en /56 à l'intérieur du /64.
Mais je souhaiterais quand même isoler les jails sur un réseau local
comme en IPV4.
D'ailleurs z'ont modifié un truc dans leurs routeurs, parce que pour
que ça fonctionne je suis maintenant obligé de définir l'ip en /56.
En /128 comme ils le demandent, ça ne marche plus !
@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
ha, je l'ai pas celui là, j'ai jail.conf en 5 ou jail en 8. Cela dit,
j'avais bien trouvé mention de fichiers type jail.conf, mais sans que
ezjail n'en fasse grand cas ni n'en crée aucun.
Puis j'ai comme d'habitude fait confiance au handbook, qui a visiblement
une génération de retard sur l'implémentation des jails.
j'ai jamais été un grand fan d'OVH, cela dit j'ai jamais été client chez
eux. Mais rien de ce que je peux lire sur leur compte, ou voir de mes
yeux, ne me donne envie d'y aller...
--
photo http://photo.patpro.net/
blog http://www.patpro.net/