Это из серии вопросов, толкающих меня к Linux. А как, простите, мне отфильтровать некий порт по IPv6, так чтобы с ним можно было работать только внутри jail? Ну что, прошу прощения, за эпидерсия
Вот без этого net.inet6.ip6.dad_count=0 в sysctl ваши сервисы на старте jail не найдут IPv6 адресов. Всегда любил такие подводные камни. И ни слова нигде.
По-хорошему, надо sendmail-submit (msp) повесить на выделенный внешний IPv6, закрыть 587 порт снаружи и радоваться. Но почему-то в голове вертится мысль на клоновом интерфейсе ::2 (::x) делать и вешать туда. Не могу понять почему меня на это тянет
Просто памятка. Если вы хотите на FreeBSD 10.1 (и я так понимаю 9.3) повесить jail на IPv6/IPv4 и при этом, чтобы все сервисы штатно запустились, то
1. Должен существовать loopback-интерфейс и никак иначе. В противном случае, например sendmail/unbound не сможет повиснуть на IPv6 искаропки.
2. На loopback должен быть повешен именно loopback-ipv6. Обычный работает в плане сети, но на него отказываются вешаться sendmail/unbound.
3. Хитрая багофича — в /etc/resolv.conf надо рисовать loopback-адрес на loopback-интерфейсе. Или внешний на внешнем. В противном случае gethostbyaddr() тупо не работает. При этом со стороны сети всё работает.
4. Вся эта байда в принципе лечится явным прописыванием конфигураций, тем более Ansible там и всё такое. Однако, зачастую требуется развесить контейнеры на приватные IPv4, одновременно имея IPv6. И вот тут вы сталкиваетесь с каким-нибудь костылем.
5. Где я напутал?
6. А как делаешь это ты, линуксоид?
Запускаю jail (полную ОС) по мануалу через -c и с exec.start exec.stop без новомодного jail.conf). jail -r насмерть не хочет запускать exec.stop. А если в jail.conf прописать — всё ок. Это так и надо, типа он этот exec.stop нигде не запоминает? По мануалу не понятно.
Хм... если повесить jail на lo1|127.0.0.2,etр0|внешний, и запустить local_unbound с 127.0.0.1 в resolve.conf, то всякие host/drill работают, а вот gethostbyaddr() внезапно нет. пинги там, сендмейлы. Это фишка или баг?
Приперло меня на виртуализацию на FreeBSD. Дисклеймер — я плотно виртуализацией вообще в продакшене никогда не пользовался (сам) и не предоставлял другим. Не совсем понимаю, с чем столкнусь. Собственно — надо изолировать пару-тройку сайтов. Будет значит там 3-10 виртуалок. Посмотрел я всякие тулзы. CBSD горомоздко и он начал свой shell пилить, что меня немного напрягло. +99% функциональности мне вообще не нужно. BSDPloy — крутая штука. Но опять — много ненужного и вот тулза, коннектор, ansible... выглядит опять перебором. Собственно я тиражировать-то ничего не собираюсь пачками. ezjail — документация слабая и поддержка очень кислая. Пользовался poudriere :) Но он в стороне и часть задач не охватывает типа бэкапов. Понравился вот этот github.com . Или ну его — для бэкапов всё равно скрипт писать, а 10 абсолютно разных jail спокойно и штатными средствами делаются? Обновления наверное через ansible.
Работать с Jail во FreeBSD становится легко и приятно, если поставить qjail.
Сразу после установки qjail надо поставить мир, который будет использоваться в джейлах. В хендбуке описан трудный путь скачивания исходников и компиляции всего этого хозяйства, но с qjail ничего этого не надо, достаточно дать команду
`qjail install`
Мир скачивается и тут же готов к использованию
Дальше можно создавать джейлы:
`qjail create -4 <ip адрес> <имя>`
И запускать их:
`qjail start <имя>`
И останавливать
`qjail stop <имя>`
А после остановки делать бекап!
`qjail archive <имя>`
В /etc/jail.conf лазить не надо, всё делается автоматом, достотачно только в /etc/rc.conf добавить строчку
`qjail_enable="YES"`
via #661104
Epic JAIL. Настолько суровое средство изоляции всего и вся, что не дожило до релиза, заблокировав свой собственный репозиторий. Разработчики в замешательстве.