Date: Fri, 12 Jan 2007 09:53:04 +0100 From: Flemming Jacobsen <none@fj--batmule.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: jails og flere netenheder
Casper Andersen wrote:
> fre, 12 01 2007 kl. 09:13 +0100, skrev Michael Rasmussen:
> > > Jeg er ikke helt sikker på at jeg forstår hvad du mener med
> > > "netenhed".
> > Dårlig oversættelse: et netkort delt via alias eller et dedikeret per
> > jail.
>
> Et netkort til hvert jail, er ikke typisk for jail setups,
> så du bør kunne nøjes med et med aliases. Det lyder imod formålet
> at de individuelle jails kan lytte på trafik til de andre direkte
> via nic'et, så det forventer jeg ikke at være tilfældet, ellers
> vil jeg også gerne vide det, måske andre kan give et besyv med,
> Simon osv.. ?
Et jail kan kun lytte på trafik til den IP som jailet har fået
tildelt.
> jails løsningen skulle dog efter sigende kunne bruge en ekstra
> udvikling mht. virtualisering af netkort, men det er lidt ud
> over mit research pt. igen mere info vil være lækkert.
Ja, pt. er det ikke muligt at lade et jail have mere end een IP.
> > > Det er kun hovedmaskinen (dvs. den maskine hvorpå du starter
> > > jails) der har adgang til at lave firewalling.
> > Det vil sige, at man kan ikke installere en firewall i et jail, og
> > anvende den som opkoblingspunkt for et netværk bagved?
> > internet --- jail1 ---- lan
> > |
> > jail2
>
> Du skal ikke tænke på at det skal køre igennem jail1->jail2 osv,
> og det lyder også som det Flemming mener.
>
> Tænk nærmere..
> internet --- server(fw) ------
> | | |
> jail1 jail2 jailetc..
>
> er din server der hoster jails'ne kompromiteret,
> så er jails det også, men ikke omvendt, husk blot lige
> at tage højde for nyeste security advisory.
Det var netop den tegning jeg burde have tænkt på, ja.
Hyg'
Flemming
-- Flemming Jacobsen Email: fj@batmule.dk ---=== If speed kills, Windows users may live forever. ===---
This archive was generated by hypermail 2b30 : Wed 31 Jan 2007 - 23:00:05 CET