Administrera jails via bastille i FreeBSD: Difference between revisions
m →Nätverk |
|||
| (4 intermediate revisions by the same user not shown) | |||
| Line 47: | Line 47: | ||
}} | }} | ||
{{Note|Dessa regler kommer blocka all trafik till host:en utom SSH (port 22). Om du vill komma åt tjänster som körs direkt på host:en måste du addera regler för dessa.}} | |||
Starta pf genom att köra: | |||
{{RootCmd|<nowiki>sysrc pf_enable=YES</nowiki>|service pf start}} | {{RootCmd|<nowiki>sysrc pf_enable=YES</nowiki>|service pf start}} | ||
| Line 64: | Line 66: | ||
{{RootCmd|bastille pkg jail1 install -y nginx|<nowiki>bastille sysrc jail1 nginx_enable=YES</nowiki>|bastille service jail1 nginx start}} | {{RootCmd|bastille pkg jail1 install -y nginx|<nowiki>bastille sysrc jail1 nginx_enable=YES</nowiki>|bastille service jail1 nginx start}} | ||
Verifiera att webservern är uppe: | |||
{{Cmd|curl 10.0.0.1}} | |||
{{bc|1= | |||
<!DOCTYPE html> | |||
<html> | |||
<head> | |||
<title>Welcome to nginx!</title> | |||
<style> | |||
... | |||
}} | |||
== Port-forwarding == | |||
För att kunna accessa webservern utifrån, så kan vi sätta upp port-forwarding av inkommande trafik på port 8080 och skicka det till jailets port 80 via kommandot: | |||
{{RootCmd|bastille rdr jail1 tcp 8080 80}} | |||
Verifiera att du nu kan nå webservern utifrån genom att accessa <host>:8080. | |||
== Starta jailet automatiskt vid boot == | |||
För att starta jailet automatiskt då maskinen bootar, kör kommandona: | |||
{{RootCmd|<nowiki>sysrc bastille_enable=YES</nowiki>|<nowiki>sysrc bastille_list+=jail1</nowiki>}} | |||
[[Category:Guide]] | [[Category:Guide]] | ||
Latest revision as of 21:21, 12 August 2023
Denna guide visar hur man kan köra nginx i ett jail via bastille i FreeBSD 13.2.
Installation
Installera bastille genom kommandot:
Konfiguration
Vi kommer köra bastille på en ZFS pool som heter trunk och vår router har IP adress 192.168.0.1. Editera filen /usr/local/etc/bastille/bastille.conf och se till att följande är konfigurerat:
bastille_tzdata="Europe/Stockholm" bastille_zfs_enable="YES" bastille_zfs_zpool="trunk" bastille_network_gateway="192.168.0.1"
Nätverk
Vi kommer köra jails i privata nätverk och öppna upp access till nginx genom att göra port-forwarding av port 8080 på host:en till nginx. Kör följande kommandon:
Editera filen /etc/pf.conf:
ext_if="igb0" set block-policy return scrub in on $ext_if all fragment reassemble set skip on lo table <jails> persist nat on $ext_if from <jails> to any -> ($ext_if:0) rdr-anchor "rdr/*" block in all pass out quick keep state antispoof for $ext_if inet pass in inet proto tcp from any to any port ssh flags S/SA keep state
Starta pf genom att köra:
Skapa ett jail med nginx
Hämta FreeBSD 13.2-RELEASE och även alla patchar:
Skapa ett jail som heter jail1 med IP adress 10.0.0.1:
Installera sen nginx och se till att servicen startar när jailet startar:
Verifiera att webservern är uppe:
<!DOCTYPE html> <html> <head> <title>Welcome to nginx!</title> <style> ...
Port-forwarding
För att kunna accessa webservern utifrån, så kan vi sätta upp port-forwarding av inkommande trafik på port 8080 och skicka det till jailets port 80 via kommandot:
Verifiera att du nu kan nå webservern utifrån genom att accessa <host>:8080.
Starta jailet automatiskt vid boot
För att starta jailet automatiskt då maskinen bootar, kör kommandona: