bonjour à tous,

voila je tente de monter un serveur freebsd sur une dedibox. Je souhaite avoir un serveur web tournant dans une jail. Auparavant j'ai déjà réussi à m'en sortir en montant en lecture seule /usr/ de l'hôte en lecture dans la jail et en installant/compilant les prog que je désirais avoir dans la jail depuis l'hôte.

Le problème c'est que c'est très loin d'être propre, de plus maintenant je souhaiterai héberger plusieurs site, et pour bien faire il me faudrait un site par jail. Pour me simplifier la tache j'ai donc choisi d'utiliser ezjail ,qui par ailleurs est très commode. Bon maintenant je compile depuis la jail. Le problème est que je n'arrive pas a aller télécharger les archives depuis le net.

par exemple en essayant d'installer bash depuis la jail voici ce que j'ai:

fetch: http://ftp.gnu.org/gnu/bash/bash-4.0.tar.gz: No address record

j'ai pourtant suivi moult tutoriaux, essayé de changer les options sysctl, copier le /etc/resolv.conf de l'hôte dans la jail, joué avec les redirection de pf rien ne passe. Ca fait environ 4 semaines que je dessus et je commence très très légèrement a craquer .

Si quelqu'un pouvait me venir en aide, ca serait sympa.

Merci d'avance

PS: je ne joins pas de fichiers de config car je n'ai aucune idée d'ou vient mon souci, mais évidement je peux les fournir
PS1: lors de ma première jail (ou les prog étaient installé depuis l'hôte) je m'étais servi des redirections de pf pour qe le traffic du port 80 sorte et rentre avec dans mon fichier pf.conf:

cr="sis0"
mona="mon_ip_de_l_hote"
alca="l_ip_de_ma_jail"
myip="ip_de_connexion_pour_ssh_enfin_mon_ip"
scrub in all
rdr on $cr proto tcp from any to $mona port 80 -> $alca port 80
rdr on $cr proto tcp from $alca port 80 to any port 80 -> $mona port 80
block in on $cr
pass in on $cr proto tcp from $myip to $cr port 22
pass in on $cr proto tcp from any to $cr port 80
pass out on $cr proto { tcp, udp } all

Quote:


En fait ça serait pour éviter qu'un cas de piratage, si un des sites tombent, les autres ne soient pas corrompus.

J'ai testé la solution avec "nat on" dans le fichier pf.conf, sans grand résultat. J'ai ensuite cherche du cote de natd en me servant de cette page http://www.freebsd.org/doc/fr/books/handbook/network-natd.html. Car Quote:
me semblait bien adapté à ce que je voulais faire. Mais bon au reboot de la machine c'est la cata car je ne peux plus me connecter au serveur en ssh, à force on s'habitue ca me l'a déjà fait quand j'avais mis les règles de parefeu.

Ce que je ne comprend pas vraiment c'est que sur les tutoriaux que j'ai pu lire sur le net, ca semble vraiment simplissime d'avoir une jail connectée au à internet: on pourrait meme croire que ca se fait tout seul par défaut et que dans mon cas c'est la croix et la bannière.

En tout cas je vous remercie de votre aide, je vais continuer a chercher. Si je trouve une solution j'en tiendrai informer le forum....mais je commence a me dire que je vais p'être plutôt me tourner ver la solution virtual host d'apache et me passer des jails, ce qui m'embête un peu quand même.

colink wrote on 15. May 2009 at 20:57:


Comment sont configurées les IP des jails ?
Comme le dit David, si tu n'as qu'une IP publique et tes jails sur des IP privées il faut faire du NAT pour les paquets qui sortent des jails.

Par exemple si tu une jail d'adresse 192.168.0.1 émet un paquet vers google, il faut que l'adresse IP source soit translatée vers l'adresse publique de l'hôte. Quand la réponse arrive, le NAT "se souvient" et fait l'inverse (IP publique vers IP privée, sur l'adresse de destination).

Dans ce cas tu ne dois rediriger que les paquets qui *entrent*,  ceux qui sortent sont gérés par le NAT. C'est complètement semblage à une passerelle.

Tu ne pourras pas rediriger vers plusieurs sites web (si tu n'as qu'une adresse IP publique) mais tu peux utiliser des sites virtuels avec un serveur http qui redirige vers des jails. Nginx permet de faire ça par exemple.

pour david:

Quote:


bon je vais continuer à chercher dans cette voie alors, je ne suis pas sur d'avoir configuré comme il se doit le fichier pf.conf

Quote:


Ah oui alors tout est normal de ce point de vue, je confirme effectivement plus rien ne passe

pour patrick:

Quote:


voici la partie attribution d'IP de mon fichier rc.conf

ifconfig_sis0="inet 88.191.79.57 netmask 255.255.255.0"
ifconfig_sis0_alias0="192.168.0.0/32"

ou 88.191.79.57 est mon IP fourni par dedibox
et 192.168.0.0 est l'IP de ma jail

J'ai tenté pour tester de lancer la jail avec un IP du type 88.191.79.0 mais ça m'a value de me faire bloquer par dedibox pour spoofing, ce qui est logique à vrai dire.

Quote:


d'accord, mais tout se trafic se gère avec pf.conf uniquement??

Quote:


Merci ça va me servir car je me demandais justement, mais c'était l'étape d'après, comment faire pour gérer les redirection en fonction des sites depuis l'hote.

Quote:


ce c'est ce que je pense aussi.

Et oui j'aimerai avoir des jails qui soient totalement indépendantes les une des autres et aussi indépendantes par rapport à l'hôte.

En tout cas un grand merci pour votre aide précieuse. Je vais continuer à chercher et si j'arrive à ce que je veux j'en tiendrai le forum au courant. Mais vu comment ça se profile, une usine à gaz sans nom, je vais laisser les jails de côté et je ferai tourner mes sites directement sur le serveur puis basta!

Quote:


ok plus du style alors:

ifconfig_sis0="inet 88.191.79.57 netmask 255.255.255.0"
ifconfig_lo0="inet 127.0.0.1 netmask 255.255.255.0"
ifconfig_lo0_alias0="inet 127.0.0.2 netmask 255.255.255.255"

dans le /etc/rc.conf pour pouvoir avoir une ligne du style:
Quote:

comme vous indiquée dans un précédent post

c'est sur que si je marche en dehors des sentiers battus en ne prenant pas les méthodes traditionnelles je me tends la masse pour me frapper sur les doigts. Je regarde les doc, enfin je reregarde car je les ai déjà parcourue mais pas pas les yeux ouverts semble-t-il 

Merci encore
Colin

colink wrote on 16. May 2009 at 15:03:


Euh, non . 127.0.0.0/8, c'est réservé.

Code:

ifconfig_lo0_alias0="inet 192.168.0.1 netmask 255.255.255.255"  # ma passerelle
ifconfig_lo0_alias1="inet 192.168.0.2 netmask 255.255.255.255" # Première jail  

Il doit être utile aussi de préciser la route par défaut, dans le rc.conf de la jail:
Code:

defaultrouter=192.168.0.1 

Mais vous pouvez garder votre configuration et essayer la seconde règle de nat que j'ai donné.

colink wrote on 16. May 2009 at 15:03:


Si ça peut aider j'utilise des jails en 192.168.1.x sur lo0
rc.conf:
# conf INET
ifconfig_lo0_alias0="inet 192.168.1.1 netmask 255.255.255.255"
ifconfig_lo0_alias1="inet 192.168.1.2 netmask 255.255.255.255"
ifconfig_lo0_alias2="inet 192.168.1.10 netmask 255.255.255.255"
ifconfig_lo0_alias3="inet 192.168.1.3 netmask 255.255.255.255"
ifconfig_lo0_alias4="inet 192.168.1.4 netmask 255.255.255.255"
ifconfig_lo0_alias5="inet 192.168.1.5 netmask 255.255.255.255"
ifconfig_lo0_alias6="inet 192.168.1.128 netmask 255.255.255.255"
ifconfig_lo0_alias7="inet 192.168.1.20 netmask 255.255.255.255"
gateway_enable="YES"

ensuite je nat les IP 192.168.1.0/24 sur l'interface sortante (vr0 chez moi)
avec ipnat ça donne:

map vr0 192.168.1.0/24 -> 91.121.44.19/32 proxy port ftp ftp/tcp
map vr0 192.168.1.0/24 -> 91.121.44.19/32 portmap tcp/udp 44000:49999
map vr0 192.168.1.0/24 -> 91.121.44.19/32

le proxy ftp est indispensable pour le ftp, en mode ftp actif (ou passif je me souviens jamais) le serveur ftp initie une connexion vers le client ftp. Si le client ftp est derrière une passerelle qui nat, il faut utiliser un proxy de ce genre pour que ça fonctionne.

Ensuite je fais des redirections de ports vers les jails (toujours avec ipnat:)
rdr vr0 0.0.0.0/0 port 80 -> 192.168.1.1 port 80
rdr vr0 0.0.0.0/0 port 110 -> 192.168.1.2 port 110
...
Si tu veux mettre un serveur ftp dans une jail (comme derrière une passerelle NAT) il faut que tu consacres une plage de ports pour les connexions de données FTP *et* que tu configures le serveur FTP pour qu'il utilise cette plage de ports. En réalité c'est pas tout à fait ça, le serveur FTP indique au client quel port utiliser.

Bref pour mon serveur FTP j'ai:
rdr vr0 0.0.0.0/0 port 20 -> 192.168.1.4 port 20
rdr vr0 0.0.0.0/0 port 21 -> 192.168.1.4 port 21
rdr vr0 0.0.0.0/0 port 30000 -> 192.168.1.4 port 30000
rdr vr0 0.0.0.0/0 port 30001 -> 192.168.1.4 port 30001
rdr vr0 0.0.0.0/0 port 30002 -> 192.168.1.4 port 30002
rdr vr0 0.0.0.0/0 port 30003 -> 192.168.1.4 port 30003
...
rdr vr0 0.0.0.0/0 port 30039 -> 192.168.1.4 port 30039

Et dans la conf du serveur FTP (pure-ftpd):
# Port range for passive connections replies. - for firewalling.
PassivePortRange 30000 30039

Insiste un peu sur la configuration, les jails c'est vachement bien et tu gagneras énormément en souplesse lors des mises à jours.

David Marec wrote on 16. May 2009 at 22:59:


Non, j'utilise des alias sur lo0 pour ne pas qu'ils soient visibles sur l'interface réseau  (et éviter d'être accusé de spoofing.)

Mais dans mes début (FreeBSD 4) j'utilisais des alias sur la carte réseau (une seule carte) et ça fonctionnait pareil avec ipnat.

D'après la doc:
For standard NAT functionality, a rule should start with map  and  then proceeds  to specify the interface for which outgoing packets will have their source address rewritten.
Packets which will be rewritten can only be selected  by  matching  the original  source  address.   A  netmask  must  be specified with the IP address.

(si ça peut rassurer colink, j'en avais chier à l'époque !)