これから複数のJailを作っていくのですが、母艦となるようにソースからビルドしておきます。多分使わないけど、 sendmailも smtp-auth できるように、cyrus-saslとgitをpkgから入れてから、 ビルドしてます。
# git clone -b releng/13.0 ssh://anongit@git.freebsd.org/src.git
そう最近はgitも必要なんですね。make -j 4 buildworld; make -j 4 buildkernel;
してからインストールしてます。
そうそう、13からは、VIMAGEは標準で含まれているので、 nullfsとあと少し追加してます。
# cd /usr/src/release
# make clean
# make release BUILDNAME=13.0-VIMAGE MAKE_ISOS=1 NOPORTS=1
これで txzができので、 jailを作成したら展開して終わりです。以前は、ez-jailとか有名ですね。最初は使いましたがここ数年は使ってません。/etc/jail.conf をちょろっと
書くだけなのでWEB通りです。少しだけ世の中と違うのは、IPやインターフェースは後から設定してます。jailご本尊が上がったあと母艦から全て順番に起動してます。
多くのPKGを使うようになると不意にPKGがremoveされるのもできてきます。使っている
途中でdatabaseとか remove対象になるとげっそりするので、最初にportmaster
してます。gitlab-ceとか入れてしまうと極端に増えます。そのあと、pkg create して
nullfs でマウントして各Jailから pkg install で利用してます。
AuのHOMEGateway になってから家鯖は全てポートフォワーディングです。全て送るのでなく使うポートだけ転送するようにしてます。
Au TVのsetupboxの影響で2セッションあるのは助かります。Wordpressを RaspberryPI4のFreeBSDで動かしていますが、更新の時に困ったりします。最近はやたらTLSが進んでいてポートフォワードの先が内部にあってTLSで繋ぐ場合は、行って来いが発生してループします。何も考えずに使うには、反対側のセッションに置くしかありません。
またその逆もあったりします。
Let’s Encrypt をワイルドカードで使おうとすると、 certbotも legoもDNSゾーンに
トークンを登録して、更新する必要があります。この場合も、BINDをポートフォワード
の先に置くと行って来いが発生して更新に失敗したりします。lego動かす方と反対側のセッションにBINDのゾーンを置いておけば、ポートフォワードであっても問題なく使えました。
softetherも jailで動かすことしましたが、少し悩みました。ローカルブリッジがエラーになります。検索しても要領よくでてきません。jailが出てきたころを思いだします。
jailの中では telnetやtcpdumpがことごとく動かなかった。
なので devfs.rules にkmemやmemをunhideしたことを思いだした。最近ではbpf*も無いと動かないようですね。動くようになるか確認だけなら、エントリーだけ書けば全てunhideになるんですね。やっぱり softetherも動いた。でもこれじゃあんまりんあんまりなので bpf*を追加したルールセットを用意しました。
コメント