Subject: Re: jails og flere netenheder From: Casper Andersen <none@casper--sophistic.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Date: Fri, 12 Jan 2007 09:43:28 +0100
fre, 12 01 2007 kl. 09:13 +0100, skrev Michael Rasmussen:
> > Jeg er ikke helt sikker på at jeg forstår hvad du mener med
> > "netenhed".
> Dårlig oversættelse: et netkort delt via alias eller et dedikeret per
> jail.
Et netkort til hvert jail, er ikke typisk for jail setups,
så du bør kunne nøjes med et med aliases. Det lyder imod formålet
at de individuelle jails kan lytte på trafik til de andre direkte
via nic'et, så det forventer jeg ikke at være tilfældet, ellers
vil jeg også gerne vide det, måske andre kan give et besyv med,
Simon osv.. ?
jails løsningen skulle dog efter sigende kunne bruge en ekstra
udvikling mht. virtualisering af netkort, men det er lidt ud
over mit research pt. igen mere info vil være lækkert.
> > Det er kun hovedmaskinen (dvs. den maskine hvorpå du starter
> > jails) der har adgang til at lave firewalling.
> Det vil sige, at man kan ikke installere en firewall i et jail, og
> anvende den som opkoblingspunkt for et netværk bagved?
> internet --- jail1 ---- lan
> |
> jail2
Du skal ikke tænke på at det skal køre igennem jail1->jail2 osv,
og det lyder også som det Flemming mener.
Tænk nærmere..
internet --- server(fw) ------
| | |
jail1 jail2 jailetc..
er din server der hoster jails'ne kompromiteret,
så er jails det også, men ikke omvendt, husk blot lige
at tage højde for nyeste security advisory.
btw.. har du set på ezjails?
http://erdgeist.org/arts/software/ezjail/
vh Casper
This archive was generated by hypermail 2b30 : Wed 31 Jan 2007 - 23:00:05 CET