松本です。 あぁ、なるほど。 jailer側が192.168.xxx.aaaだけでなく192.168.xxx.bbbのアドレスを 持っているということ自体を失念しておりました。
jailer(この用語自体知りませんでした)側で # sockstat -4 したらprisonerの待ち受けが全部出てきて、腑に落ちました。 ありがとうございました。 松本 将宜 Yoshihiro Hanahara <hanah...@meiko.co.jp>さん: >花原です。 > >Jailを提供しているホスト環境を 「jailer」、 >そのホストに構築したjail環境を 「prisoner」と呼ぶとして、 > >jailerの環境で、sshd の設定ファイル「/etc/ssh/sshd_config」で、 >「ListenAddress」の設定をしていないのではないでしょうか? >つまり、以下のコメントアウトされたままではないですか? > > #ListenAddress 0.0.0.0 > #ListenAddress :: > >この状態だと、jailerのsshd は、すべてのネットワークインターフェイスにバ >インドします。 > > # sockstat -4 | grep sshd > >とすると、 > > .... > root sshd 1365 4 tcp4 *:22 *:* > >というような行がみつかるのではないでしょうか? >これは、PID 1365のsshdが 全てのIPアドレス:22ポート で 接続待ちしていると >いうことです。 > >解決策は、jailer 側の sshd_configで > > ListenAddress 192.168.xxx.aaa > >として、接続待ちIPアドレスを指定します。 >(prisoner側は、192.168.xxx.bbb のネットワークインターフェースしか見えて >ないだろうから、まあ指定しなくても特に問題はなさそうな気がする...) > >以下のURLも参考になると思います。 > > FreeBSD - Jailは仮想化ではなく半仮想化と呼ぶべきではないか > https://dankogai.livedoor.blog/archives/51916648.html > >まあ、Jail使いだした頃のあるあるネタなんだと思います。 > > >PS. >いまだに ezjail使ってるけど、iocage の方がいいかなぁ。 > >qjailは、VIMAGEつかうのに試しにつかってみたぐらい。 >MTUを変更してたら、なんかうまく動かなくて、パッチいれる必要が有ったりし >た記憶がある...。 > > >On Thu, 15 Sep 2022 06:11:09 +0900 >MATSUMOTO Masayoshi <masa...@matsu-ho.jp> wrote: > >> 松本と申します >> >> 初めてiocageを導入してみて、あれっと思った挙動があったので >> >> ホストのIPが192.168.xxx.aaaで >> #iocage activate zpool >> #iocage create -r 13.1-RELEASE -n hogehoge >> #iocage set ip4_addr="re0|192.168.xxx.bbb/24" hogehoge >> として、hogehogeにいろいろ入れたあと >> 外部から192.168.xxx.bbbにnmapかけてみたのですが、 >> 22/tcpが空いているようでした。jail内でsshは有効にしてないのですが。 >> >> で、別PCから実際に叩いてみると、 >> >ssh fugaf...@192.168.xxx.bbb >> Password forなんちゃらで出てくるホスト名もJAIL外の名前で、fugafugaはホスト側のみのID >> jail外の環境にログインできちゃいました。なんじゃこれ? >> >> あと、iocage内でspamassassin-3.4.6、正確には下記サイト通りにでっち上げた >> ja-spamassassin-3.4.6の挙動もiocage外と違っていました。 >> https://qiita.com/false-git@github/items/0dbe59922a391e547ca5 >> >> そのままだとspamc使用時に/var/log/maillogに >> mail spamd[xxxxx]: spamd: unauthorized connection from 192.168.xxx.bbb >> [192.168.xxx.bbb]:xxxxx to port 783, fd 5 at /usr/local/bin/spamd line 1627. >> mail spamd[xxxxx]: prefork: child states: II >> がでてメールが素通しです。これに関しては/etc/rc.confで >> spamd_flags="-A 192.168.xxx.bbb" >> を付け加えることで解決しますが、隣ではiocage外、spamd_flags無しで動いてるサーバがあるんですよね。 >> >> 松本 将宜 > >-- >Yoshihiro Hanahara <hanah...@meiko.co.jp> >
