добрый день
поднял ezjail yf FreeBSD9 но так как внутренняя сеть большая потребовалось добавить маршруты на подсети. При попытке прописать выдает:
root@www1:/root # route add 172.16.0.0/16 172.16.0.5
route: writing to routing socket: Operation not permitted
возможно это победить и как?
P.S. дефолтный маршрут работает обе сетевые карты тоже

• добавленить маршрут в ezjail,lavr, 18:10 , 20-Май-13
  • добавленить маршрут в ezjail,Miha, 22:55 , 20-Май-13
    • добавленить маршрут в ezjail,shaman, 12:29 , 21-Май-13
      • добавленить маршрут в ezjail,Miha, 14:04 , 21-Май-13

> добрый день
> поднял ezjail yf FreeBSD9 но так как внутренняя сеть большая потребовалось добавить
> маршруты на подсети. При попытке прописать выдает:
> root@www1:/root # route add 172.16.0.0/16 172.16.0.5
> route: writing to routing socket: Operation not permitted
> возможно это победить и как?

jail использует для работы хостовые сетевые интерфейсы - изучение документации
по jail даст просветление, плюс параметры:

# security.jail.socket_unixiproute_only  
# security.jail.allow_raw_sockets  

> P.S. дефолтный маршрут работает обе сетевые карты тоже

документацию по jail отштудировали?

# man setfib

документация по ezjail:

ezjail_JAILNAME_fib - The network view to give to the jail (see setfib(1)) when starting
it. Taken from the -f when configuring the jail; the empty string otherwise.

>> добрый день
>> поднял ezjail yf FreeBSD9 но так как внутренняя сеть большая потребовалось добавить
>> маршруты на подсети. При попытке прописать выдает:
>> root@www1:/root # route add 172.16.0.0/16 172.16.0.5
>> route: writing to routing socket: Operation not permitted
>> возможно это победить и как?
> jail использует для работы хостовые сетевые интерфейсы - изучение документации
> по jail даст просветление, плюс параметры:
> # security.jail.socket_unixiproute_only
> # security.jail.allow_raw_sockets

   А мне кажется у вас не получится даже с установленными sysctl. Вам в сторону VIMAGE.
Лично я с помощью ezjail создаю клетки, а также обновления\Flavours и т.д. Ядро скомпилировано с поддержкой VIMAGE. Вот там можно роутинг, файерволл и т.д.
Но запускаю клетки с помощью самописного скрипта, который читает конфиги не с rc.conf, а с jail.conf, т.к. штатный не поддерживает ни стартап с jail.conf ни vnet.
  Хотя говорят, что VIMAGE - экспериментальная фича, но работает вполне стабильно. Главное уберите sctp из ядра.

>> P.S. дефолтный маршрут работает обе сетевые карты тоже
> документацию по jail отштудировали?
> # man setfib
> документация по ezjail:
> ezjail_JAILNAME_fib - The network view to give to the jail (see setfib(1))
> when starting
> it. Taken from the -f when configuring the jail; the empty string
> otherwise.

Большое спаибо

както оно само разрулилось. Хотя из клетки я не пингую скажем свою машину, но сайт в клетке виден.

> Большое спаибо
> както оно само разрулилось. Хотя из клетки я не пингую скажем свою
> машину, но сайт в клетке виден.

Пинг - включите нужную sysctl (raw_socket), а вот что бы маршруты в клетке прописывать или фильтровать трафик, тогда только vimage.