Pour la première c'est ada0 et pas da4.
Et il faut désarchiver comme dans les deux suivante.
Pour les deux dernière, la commande suivante échoue car il n'y a pas
de /var/tmp en mode rescue (je l'ai créé) mais surtout parce que
visible /mnt est en lecture seule :
zpool create -f -o altroot=/mnt -o cachefile=/var/tmp/zpool.cache zroot /dev/gpt/data
Quoi-qu'il en soit en mixant les deux normalement je suis parvenu à la
fin de la procédure mais… je dois louper un truc car le serveur de
redémarre pas visiblement.
Et pas d'accès physique à la machine, pas de KVM non plus pour le voir
démarrer.
Du coup OVH me le redémarre à chaque fois en mode rescue.
Je sais refaire les partition en UFS, mais bon, tant qu'à faire autant
partitionner le disque avec GPT plutôt que MBR et utiliser ZFS.
Une idée ?
Quelqu'un l'a fait ?
Je n'ai pas encore tenté celle là :
https://www.keltia.net/howtos/mfsbsd-zfsv28/
ou plutôt celle ci d'ailleurs :
https://www.keltia.net/howtos/mfsbsd-zfs91/
@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
Le Dimanche 01 décembre 2013 à 10:14 UTC, Patrick Lamaizière écrivait sur fr.comp.os.bsd :
Va falloir trouver un hébergeur pas cher pour du FreeBSD. Coup de bol j'ai changé de Kimsufi juste avant ces changements.
C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas de FreeBSD proposé de base, et en rescue t'as un linux. Pas de KVM non plus pour la gamme que j'ai testé, donc…
Mais j'y suis arrivé, et j'en ai fait un billet. Finalement c'est à cause de zpool dont le comportement a changé en 9.2 que ça merdait par rapport aux docs. J'en ai fait un billet : http://home.gegeweb.org/~gerald/article30/freebsd-9-2-en-full-zfs-sur-un-kimsufi-ps-4g
Y'a plus de ftp-backup à dispo non plus. Ton compte ftp sur mon serveur doit toujours marcher et je peux augmenter la taille sans soucis si tu en as besoin pour archiver.
Merci, je vais voir ça, au besoin.
Euh oui, tu n'as pas besoin du système de rescue. Tout se fait à chaud sans soucis. C'est le gros avantage de ZFS, je ne vois pas pourquoi tu veux importer le zpool depuis le système rescue.
Bah on ne sais jamais, si je merde dans la config de pf.conf ou autre fichier sensible. Il faudra bien que j'accède à /etc. ;-)
Sinon, à propos des jails, tu montes des systèmes complet ou juste des jails minimalistes ? IPV6 ça marcha ou pas encore ?
@+ -- On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le gouvernement ; c'est la paix sans la violence. C'est le contraire précisément de tout ce qu'on lui reproche, soit par ignorance, soit par mauvaise foi. -+- Hem Day -+-
Le Dimanche 01 décembre 2013 à 10:14 UTC, Patrick Lamaizière écrivait sur
fr.comp.os.bsd :
Va falloir trouver un hébergeur pas cher pour du FreeBSD. Coup de
bol j'ai changé de Kimsufi juste avant ces changements.
C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas
de FreeBSD proposé de base, et en rescue t'as un linux.
Pas de KVM non plus pour la gamme que j'ai testé, donc…
Mais j'y suis arrivé, et j'en ai fait un billet.
Finalement c'est à cause de zpool dont le comportement a changé en 9.2
que ça merdait par rapport aux docs.
J'en ai fait un billet :
http://home.gegeweb.org/~gerald/article30/freebsd-9-2-en-full-zfs-sur-un-kimsufi-ps-4g
Y'a plus de ftp-backup à dispo non plus. Ton compte ftp sur mon
serveur doit toujours marcher et je peux augmenter la taille sans
soucis si tu en as besoin pour archiver.
Merci, je vais voir ça, au besoin.
Euh oui, tu n'as pas besoin du système de rescue. Tout se fait à
chaud sans soucis. C'est le gros avantage de ZFS, je ne vois pas
pourquoi tu veux importer le zpool depuis le système rescue.
Bah on ne sais jamais, si je merde dans la config de pf.conf ou autre
fichier sensible. Il faudra bien que j'accède à /etc. ;-)
Sinon, à propos des jails, tu montes des systèmes complet ou juste des
jails minimalistes ?
IPV6 ça marcha ou pas encore ?
@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
Le Dimanche 01 décembre 2013 à 10:14 UTC, Patrick Lamaizière écrivait sur fr.comp.os.bsd :
Va falloir trouver un hébergeur pas cher pour du FreeBSD. Coup de bol j'ai changé de Kimsufi juste avant ces changements.
C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas de FreeBSD proposé de base, et en rescue t'as un linux. Pas de KVM non plus pour la gamme que j'ai testé, donc…
Mais j'y suis arrivé, et j'en ai fait un billet. Finalement c'est à cause de zpool dont le comportement a changé en 9.2 que ça merdait par rapport aux docs. J'en ai fait un billet : http://home.gegeweb.org/~gerald/article30/freebsd-9-2-en-full-zfs-sur-un-kimsufi-ps-4g
Y'a plus de ftp-backup à dispo non plus. Ton compte ftp sur mon serveur doit toujours marcher et je peux augmenter la taille sans soucis si tu en as besoin pour archiver.
Merci, je vais voir ça, au besoin.
Euh oui, tu n'as pas besoin du système de rescue. Tout se fait à chaud sans soucis. C'est le gros avantage de ZFS, je ne vois pas pourquoi tu veux importer le zpool depuis le système rescue.
Bah on ne sais jamais, si je merde dans la config de pf.conf ou autre fichier sensible. Il faudra bien que j'accède à /etc. ;-)
Sinon, à propos des jails, tu montes des systèmes complet ou juste des jails minimalistes ? IPV6 ça marcha ou pas encore ?
@+ -- On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le gouvernement ; c'est la paix sans la violence. C'est le contraire précisément de tout ce qu'on lui reproche, soit par ignorance, soit par mauvaise foi. -+- Hem Day -+-
> Le Dimanche 01 décembre 2013 à 10:14 UTC, Patrick Lamaizière écrivait sur > fr.comp.os.bsd : > >> Va falloir trouver un hébergeur pas cher pour du FreeBSD. Coup de >> bol j'ai changé de Kimsufi juste avant ces changements. > > C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas > de FreeBSD proposé de base, et en rescue t'as un linux. > Pas de KVM non plus pour la gamme que j'ai testé, donc…
C'est quelle gamme ? Parceque la dernière fois que j'ai regardé il y avait IDRAC ou ILO partout.
Avec les énormes failles de ces systèmes, ils vont peut être revoir leur politique. À moins que chaque client ne dispose d'un VPN qui donne accès uniquement à l'ILO de sa propre machine...
patpro
-- photo http://photo.patpro.net/ blog http://www.patpro.net/
In article <8738mbzr0x.fsf@tee.rail.eu.org>,
Erwan David <erwan@rail.eu.org> wrote:
> Le Dimanche 01 décembre 2013 à 10:14 UTC, Patrick Lamaizière écrivait sur
> fr.comp.os.bsd :
>
>> Va falloir trouver un hébergeur pas cher pour du FreeBSD. Coup de
>> bol j'ai changé de Kimsufi juste avant ces changements.
>
> C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas
> de FreeBSD proposé de base, et en rescue t'as un linux.
> Pas de KVM non plus pour la gamme que j'ai testé, donc…
C'est quelle gamme ? Parceque la dernière fois que j'ai regardé il y
avait IDRAC ou ILO partout.
Avec les énormes failles de ces systèmes, ils vont peut être revoir leur
politique. À moins que chaque client ne dispose d'un VPN qui donne accès
uniquement à l'ILO de sa propre machine...
patpro
--
photo http://photo.patpro.net/
blog http://www.patpro.net/
> Le Dimanche 01 décembre 2013 à 10:14 UTC, Patrick Lamaizière écrivait sur > fr.comp.os.bsd : > >> Va falloir trouver un hébergeur pas cher pour du FreeBSD. Coup de >> bol j'ai changé de Kimsufi juste avant ces changements. > > C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas > de FreeBSD proposé de base, et en rescue t'as un linux. > Pas de KVM non plus pour la gamme que j'ai testé, donc…
C'est quelle gamme ? Parceque la dernière fois que j'ai regardé il y avait IDRAC ou ILO partout.
Avec les énormes failles de ces systèmes, ils vont peut être revoir leur politique. À moins que chaque client ne dispose d'un VPN qui donne accès uniquement à l'ILO de sa propre machine...
patpro
-- photo http://photo.patpro.net/ blog http://www.patpro.net/
Il faut passer sur la console pour activer l'accès qui se fait avec un mot de passe aléatoire sur une URL qui change elle aussi.
L'accès direct n'est pas possible.
ok, ça semble effectivement plus prudent :)
-- photo http://photo.patpro.net/ blog http://www.patpro.net/
Patrick Lamaizière
Gérald Niel :
Euh oui, tu n'as pas besoin du système de rescue. Tout se fait à chaud sans soucis. C'est le gros avantage de ZFS, je ne vois pas pourquoi tu veux importer le zpool depuis le système rescue.
Bah on ne sais jamais, si je merde dans la config de pf.conf ou autre fichier sensible. Il faudra bien que j'accède à /etc. ;-)
C'est bien pour ça que je n'utilise pas ZFS pour le système de base :)
Sinon, à propos des jails, tu montes des systèmes complet ou juste des jails minimalistes ?
Complets, àma c'est plus simple à gérer même si c'es t un gachis de disque et de mémoire.
IPV6 ça marcha ou pas encore ?
Normalement IPV6 marche dans les jails. Je m'en sers pas.
Bonne semaine
Gérald Niel :
Euh oui, tu n'as pas besoin du système de rescue. Tout se fait à
chaud sans soucis. C'est le gros avantage de ZFS, je ne vois pas
pourquoi tu veux importer le zpool depuis le système rescue.
Bah on ne sais jamais, si je merde dans la config de pf.conf ou autre
fichier sensible. Il faudra bien que j'accède à /etc. ;-)
C'est bien pour ça que je n'utilise pas ZFS pour le système de base :)
Sinon, à propos des jails, tu montes des systèmes complet ou juste des
jails minimalistes ?
Complets, àma c'est plus simple à gérer même si c'es t un gachis de
disque et de mémoire.
IPV6 ça marcha ou pas encore ?
Normalement IPV6 marche dans les jails. Je m'en sers pas.
Euh oui, tu n'as pas besoin du système de rescue. Tout se fait à chaud sans soucis. C'est le gros avantage de ZFS, je ne vois pas pourquoi tu veux importer le zpool depuis le système rescue.
Bah on ne sais jamais, si je merde dans la config de pf.conf ou autre fichier sensible. Il faudra bien que j'accède à /etc. ;-)
C'est bien pour ça que je n'utilise pas ZFS pour le système de base :)
Sinon, à propos des jails, tu montes des systèmes complet ou juste des jails minimalistes ?
Complets, àma c'est plus simple à gérer même si c'es t un gachis de disque et de mémoire.
IPV6 ça marcha ou pas encore ?
Normalement IPV6 marche dans les jails. Je m'en sers pas.
Bonne semaine
Gérald Niel
Le Lundi 02 décembre 2013 à 06:49 UTC, Erwan David écrivait sur fr.comp.os.bsd :
C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas de FreeBSD proposé de base, et en rescue t'as un linux. Pas de KVM non plus pour la gamme que j'ai testé, donc…
C'est quelle gamme ? Parceque la dernière fois que j'ai regardé il y avait IDRAC ou ILO partout.
Dedibox SC.
Je viens d'aller sur la console d'administration, rien de tout ça. Ou alors faut que je change de lunettes ! ;-)
@+ -- On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le gouvernement ; c'est la paix sans la violence. C'est le contraire précisément de tout ce qu'on lui reproche, soit par ignorance, soit par mauvaise foi. -+- Hem Day -+-
Le Lundi 02 décembre 2013 à 06:49 UTC, Erwan David écrivait sur
fr.comp.os.bsd :
C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas
de FreeBSD proposé de base, et en rescue t'as un linux.
Pas de KVM non plus pour la gamme que j'ai testé, donc…
C'est quelle gamme ? Parceque la dernière fois que j'ai regardé il y
avait IDRAC ou ILO partout.
Dedibox SC.
Je viens d'aller sur la console d'administration, rien de tout ça.
Ou alors faut que je change de lunettes ! ;-)
@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
Le Lundi 02 décembre 2013 à 06:49 UTC, Erwan David écrivait sur fr.comp.os.bsd :
C'est quand même mieux que chez Online avec ses Dedibox, là t'as pas de FreeBSD proposé de base, et en rescue t'as un linux. Pas de KVM non plus pour la gamme que j'ai testé, donc…
C'est quelle gamme ? Parceque la dernière fois que j'ai regardé il y avait IDRAC ou ILO partout.
Dedibox SC.
Je viens d'aller sur la console d'administration, rien de tout ça. Ou alors faut que je change de lunettes ! ;-)
@+ -- On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le gouvernement ; c'est la paix sans la violence. C'est le contraire précisément de tout ce qu'on lui reproche, soit par ignorance, soit par mauvaise foi. -+- Hem Day -+-
Gérald Niel
Le Lundi 02 décembre 2013 à 09:15 UTC, Patrick Lamaizière écrivait sur fr.comp.os.bsd :
Sinon, à propos des jails, tu montes des systèmes complet ou juste des jails minimalistes ?
Complets, àma c'est plus simple à gérer même si c'es t un gachis de disque et de mémoire.
En affet avec ezjail, çe se fait tout seul (ou presque).
IPV6 ça marcha ou pas encore ?
Normalement IPV6 marche dans les jails. Je m'en sers pas.
Je crois qu'il n'y a plus qu'une IPV6 avec cette gamme de toutes façons. Dommage…
set block-policy return set loginterface $ext_if set skip on $loop_if scrub in all
nat on $ext_if from $jails_subnet to any -> ($ext_if)
block log on $ext_if block quick from <bruteforce>
pass in proto icmp6 all [...] pass quick on $loop_if pass out on $ext_if pass out on $ext_if inet6
Et dans rc.conf : gateway_enable="YES" ipv6_gateway_enable="YES"
Et dans sysctl.conf : security.jail.allow_raw_sockets=1
Mais y'a rien qui sort. Et quand je veux faire un ping : ping: socket: Operation not permitted
@+ -- On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le gouvernement ; c'est la paix sans la violence. C'est le contraire précisément de tout ce qu'on lui reproche, soit par ignorance, soit par mauvaise foi. -+- Hem Day -+-
Le Lundi 02 décembre 2013 à 09:15 UTC, Patrick Lamaizière écrivait sur
fr.comp.os.bsd :
Sinon, à propos des jails, tu montes des systèmes complet ou juste des
jails minimalistes ?
Complets, àma c'est plus simple à gérer même si c'es t un gachis de
disque et de mémoire.
En affet avec ezjail, çe se fait tout seul (ou presque).
IPV6 ça marcha ou pas encore ?
Normalement IPV6 marche dans les jails. Je m'en sers pas.
Je crois qu'il n'y a plus qu'une IPV6 avec cette gamme de toutes façons.
Dommage…
set block-policy return
set loginterface $ext_if
set skip on $loop_if
scrub in all
nat on $ext_if from $jails_subnet to any -> ($ext_if)
block log on $ext_if
block quick from <bruteforce>
pass in proto icmp6 all
[...]
pass quick on $loop_if
pass out on $ext_if
pass out on $ext_if inet6
Et dans rc.conf :
gateway_enable="YES"
ipv6_gateway_enable="YES"
Et dans sysctl.conf :
security.jail.allow_raw_sockets=1
Mais y'a rien qui sort.
Et quand je veux faire un ping :
ping: socket: Operation not permitted
@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
set block-policy return set loginterface $ext_if set skip on $loop_if scrub in all
nat on $ext_if from $jails_subnet to any -> ($ext_if)
block log on $ext_if block quick from <bruteforce>
pass in proto icmp6 all [...] pass quick on $loop_if pass out on $ext_if pass out on $ext_if inet6
Et dans rc.conf : gateway_enable="YES" ipv6_gateway_enable="YES"
Et dans sysctl.conf : security.jail.allow_raw_sockets=1
Mais y'a rien qui sort. Et quand je veux faire un ping : ping: socket: Operation not permitted
@+ -- On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le gouvernement ; c'est la paix sans la violence. C'est le contraire précisément de tout ce qu'on lui reproche, soit par ignorance, soit par mauvaise foi. -+- Hem Day -+-
Patrick Lamaizière
Gérald Niel :
Sinon, à propos des jails, tu montes des systèmes complet ou juste des jails minimalistes ?
Complets, àma c'est plus simple à gérer même si c'es t un gachis de disque et de mémoire.
En affet avec ezjail, çe se fait tout seul (ou presque).
Oui, mais à l'époque ça n'existait pas encore... Et avoir tout dans une arborescence indépendante c'est assez pratique (mes jails datent de FreeBSD 4.10) pour archiver, déplacer, cloner.
Bon, là je sèche avec pf.
je ne sais pas pour ça, j'utilise ipf...
basiquement je ne fais que du nat en sortie et des redirections vers les jails
ipnat.rules. map em0 192.168.1.0/24 -> 0/32 proxy port ftp ftp/tcp map em0 192.168.1.0/24 -> 0/32 portmap tcp/udp 44000:49999 map em0 192.168.1.0/24 -> 0/32 rdr em0 0.0.0.0/0 port 80 -> 192.168.1.1 port 80 rdr em0 0.0.0.0/0 port 443 -> 192.168.1.1 port 443 rdr em0 0.0.0.0/0 port 110 -> 192.168.1.2 port 110 rdr em0 0.0.0.0/0 port 143 -> 192.168.1.2 port 143 rdr em0 0.0.0.0/0 port 993 -> 192.168.1.2 port 993 ...
Tu as essayé avec autre chose que ping depuis une jail ? (telnet ...)
Gérald Niel :
Sinon, à propos des jails, tu montes des systèmes complet ou juste des
jails minimalistes ?
Complets, àma c'est plus simple à gérer même si c'es t un gachis de
disque et de mémoire.
En affet avec ezjail, çe se fait tout seul (ou presque).
Oui, mais à l'époque ça n'existait pas encore... Et avoir tout dans une
arborescence indépendante c'est assez pratique (mes jails datent de
FreeBSD 4.10) pour archiver, déplacer, cloner.
Bon, là je sèche avec pf.
je ne sais pas pour ça, j'utilise ipf...
basiquement je ne fais que du nat en sortie et des redirections vers les
jails
ipnat.rules.
map em0 192.168.1.0/24 -> 0/32 proxy port ftp ftp/tcp
map em0 192.168.1.0/24 -> 0/32 portmap tcp/udp 44000:49999
map em0 192.168.1.0/24 -> 0/32
rdr em0 0.0.0.0/0 port 80 -> 192.168.1.1 port 80
rdr em0 0.0.0.0/0 port 443 -> 192.168.1.1 port 443
rdr em0 0.0.0.0/0 port 110 -> 192.168.1.2 port 110
rdr em0 0.0.0.0/0 port 143 -> 192.168.1.2 port 143
rdr em0 0.0.0.0/0 port 993 -> 192.168.1.2 port 993
...
Tu as essayé avec autre chose que ping depuis une jail ? (telnet ...)
Sinon, à propos des jails, tu montes des systèmes complet ou juste des jails minimalistes ?
Complets, àma c'est plus simple à gérer même si c'es t un gachis de disque et de mémoire.
En affet avec ezjail, çe se fait tout seul (ou presque).
Oui, mais à l'époque ça n'existait pas encore... Et avoir tout dans une arborescence indépendante c'est assez pratique (mes jails datent de FreeBSD 4.10) pour archiver, déplacer, cloner.
Bon, là je sèche avec pf.
je ne sais pas pour ça, j'utilise ipf...
basiquement je ne fais que du nat en sortie et des redirections vers les jails
ipnat.rules. map em0 192.168.1.0/24 -> 0/32 proxy port ftp ftp/tcp map em0 192.168.1.0/24 -> 0/32 portmap tcp/udp 44000:49999 map em0 192.168.1.0/24 -> 0/32 rdr em0 0.0.0.0/0 port 80 -> 192.168.1.1 port 80 rdr em0 0.0.0.0/0 port 443 -> 192.168.1.1 port 443 rdr em0 0.0.0.0/0 port 110 -> 192.168.1.2 port 110 rdr em0 0.0.0.0/0 port 143 -> 192.168.1.2 port 143 rdr em0 0.0.0.0/0 port 993 -> 192.168.1.2 port 993 ...
Tu as essayé avec autre chose que ping depuis une jail ? (telnet ...)
Gérald Niel
Le Mercredi 04 décembre 2013 à 14:11 UTC, Patrick Lamaizière écrivait sur fr.comp.os.bsd :
Bon, là je sèche avec pf.
je ne sais pas pour ça, j'utilise ipf...
basiquement je ne fais que du nat en sortie et des redirections vers les jails
Oui, pareil avec PF. bon, j'y suis parvenue mais j'ai du créer l'interface lo1 pour les jails. Avec les IP sur re0 (la même que l'ip publique) je devais merder dans les règles de pf.
nat pass on $ext_if from $jails_net to any -> $ext_addr
rdr pass on re0 proto tcp from any to $ext_addr port nntp -> 192.168.0.119 port nntp
(pour la jail nntp)
J'avais essayé : nat on $ext_if from $jails_if:network to any -> ($ext_if)
Mais ça m'a fait un "broken pipe".
Tu as essayé avec autre chose que ping depuis une jail ? (telnet ...)
Oui. ;-) J'avais aussi oublié le acl_trusted dans la config de named de la jail dns (et occasionellement de renseigner resolv.conf).
Par contre malgré security.jail.allow_raw_sockets=1 dans le sysctl.conf de l'hote, je ne peux pas "pinguer" depuis les jails:
ping: socket: Operation not permitted
Je ne sais pas trop si quelque chose a changé dans la config de ezjail ou de FreeBSD ?… je cherche… Bon, ceci dit ce n'est pas forcément nécéssaire. Mais j'aime bien comprendre. ;-)
@+ -- On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le gouvernement ; c'est la paix sans la violence. C'est le contraire précisément de tout ce qu'on lui reproche, soit par ignorance, soit par mauvaise foi. -+- Hem Day -+-
Le Mercredi 04 décembre 2013 à 14:11 UTC, Patrick Lamaizière écrivait sur
fr.comp.os.bsd :
Bon, là je sèche avec pf.
je ne sais pas pour ça, j'utilise ipf...
basiquement je ne fais que du nat en sortie et des redirections vers les
jails
Oui, pareil avec PF.
bon, j'y suis parvenue mais j'ai du créer l'interface lo1 pour les
jails.
Avec les IP sur re0 (la même que l'ip publique) je devais merder dans
les règles de pf.
nat pass on $ext_if from $jails_net to any -> $ext_addr
rdr pass on re0 proto tcp from any to $ext_addr port nntp -> 192.168.0.119 port nntp
(pour la jail nntp)
J'avais essayé :
nat on $ext_if from $jails_if:network to any -> ($ext_if)
Mais ça m'a fait un "broken pipe".
Tu as essayé avec autre chose que ping depuis une jail ? (telnet ...)
Oui. ;-)
J'avais aussi oublié le acl_trusted dans la config de named de la
jail dns (et occasionellement de renseigner resolv.conf).
Par contre malgré security.jail.allow_raw_sockets=1 dans le
sysctl.conf de l'hote, je ne peux pas "pinguer" depuis les jails:
ping: socket: Operation not permitted
Je ne sais pas trop si quelque chose a changé dans la config de ezjail
ou de FreeBSD ?… je cherche…
Bon, ceci dit ce n'est pas forcément nécéssaire. Mais j'aime bien
comprendre. ;-)
@+
--
On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le
gouvernement ; c'est la paix sans la violence. C'est le contraire
précisément de tout ce qu'on lui reproche, soit par ignorance, soit
par mauvaise foi. -+- Hem Day -+-
Le Mercredi 04 décembre 2013 à 14:11 UTC, Patrick Lamaizière écrivait sur fr.comp.os.bsd :
Bon, là je sèche avec pf.
je ne sais pas pour ça, j'utilise ipf...
basiquement je ne fais que du nat en sortie et des redirections vers les jails
Oui, pareil avec PF. bon, j'y suis parvenue mais j'ai du créer l'interface lo1 pour les jails. Avec les IP sur re0 (la même que l'ip publique) je devais merder dans les règles de pf.
nat pass on $ext_if from $jails_net to any -> $ext_addr
rdr pass on re0 proto tcp from any to $ext_addr port nntp -> 192.168.0.119 port nntp
(pour la jail nntp)
J'avais essayé : nat on $ext_if from $jails_if:network to any -> ($ext_if)
Mais ça m'a fait un "broken pipe".
Tu as essayé avec autre chose que ping depuis une jail ? (telnet ...)
Oui. ;-) J'avais aussi oublié le acl_trusted dans la config de named de la jail dns (et occasionellement de renseigner resolv.conf).
Par contre malgré security.jail.allow_raw_sockets=1 dans le sysctl.conf de l'hote, je ne peux pas "pinguer" depuis les jails:
ping: socket: Operation not permitted
Je ne sais pas trop si quelque chose a changé dans la config de ezjail ou de FreeBSD ?… je cherche… Bon, ceci dit ce n'est pas forcément nécéssaire. Mais j'aime bien comprendre. ;-)
@+ -- On ne le dira jamais assez, l'anarchisme, c'est l'ordre sans le gouvernement ; c'est la paix sans la violence. C'est le contraire précisément de tout ce qu'on lui reproche, soit par ignorance, soit par mauvaise foi. -+- Hem Day -+-
