OpenSolaris 2008.11 är här!

@bzz
Nja ... I brandväggen har du ju ett regelverk som måste passeras innan paketet släpps in. T ex fragmenterade paket, spoofade ip etc.
Det jag ser som ett problem med zones är att man måste köra NIC:en i "promiscuous mode" för att få ett VNIC, dvs i en zone kan du installera en sniffer. Men det är ju mycket bättre med en zone än OS självt.

Jag tänker testa xvm när jag får tid, hinner inte just nu pga jobb. Du kan väl hålla oss informerade om hur det går?

@saddam
"Deadlink" är väl bättre än inget alls, vill du känna dig trygg, ha bra prestanda och många konfigureringsalternativ ska du nog upp ett par tusen. Den "lösning" jag har kan hantera det mesta (Content filtering, IPSec, etc) MTBF 41 år, dvs den överlever nog mig

/t

@saddam,

det där såg ju intressant ut! Jag har stött på Crossbow tidigare men har inte fördjupat mig i det.

Tack för tips!

/t

@saddam

Jag har skummat igenom arikeln lite snabbt. Det det handlar om är att skapa virtuella routers, switchar och NIC:s. Iofs intressant om man vill leka lite men jag kan inte se någon direkt nytta med det (det finns säkert något usecase men jag kan inte komma på något). Det jag gillar är att man har byggt upp IP-stacken med tanke på VNIC:s. Så jag förutsätter att man då också tänkte på "läckaget". Jag funderade på min OpenVPN installation men tyvärr kan man inte plugga in kernel-moduler i en zone. Om man kunde det så hade det varit en intressant teknologi.

<OT> När det gäller OpenVPN på OS så funkar det tyvärr inte riktigt bra - eller så är det jag som har missat något. I min setup så har jag ju DNS-servern i en zone. När jag pushar den till klienten så "fattar" inte IP-stacken det. Den klarar inte att routa bland VNIC:s. Jag löste det genom att pusha min gamla DNS-server till klienten och då funkade det perfekt. Någon som har fått det att funka? </OT>

/t

På tal om routing, jag har ett "litet" problem men min syslog. När jag installerade OpenVPN så lekte jag lite med olika routes. Problemet är att jag inte kan få bort mina gamla routes. Var 10 min så får jag en varning i loggen om att "192.168.10.0/25 --> 192.168.10.2 nexthop is not directly connected". Ok, det vet jag eftersom jag inte använder den. Jag har provat att deleta den men den ligger kvar. Jag vet att jag kan boota om maskinen och lösa problemet men det vill jag inte (det är ju inte en Wintendo-burk)

Någon IP/routing-kunnig här på forumet?

/t

EDIT: När jag "googlat" så verkar det som om att det endast är solaris som har detta problem.

@saddam

var köper man en sunray? Vad kostar den? Funderade på att köpa en till ungarna men undrar om den klarar bolibompa-sajten
Min dotter (3 år) är en fena på att surfa - tänkte liksom lära upp dem på open source

/t

pr0xy: Sun säljer sin nya Sun Ray 2 för $350 enligt hemsidan. Men om du kan köpa en som privatperson vet jag inte.

Begagnade Sun Ray 1 verkar det vara dåligt med i Sverige. I vart fall är det "Sun Ray 1G" du vill ha och inte "Sun Ray 1". Största skillnaden är väl iofs att "1G" har DVI och klarar högre upplösning än "1" som bara har VGA. Ett Sun tangentbord är praktiskt att ha till sin SunRay annars funkar vanliga vanilj usb-tangentbord oftast bra.

@Fnorken

Tack för info! Jag misstänkte att det var lite problem med privat bruk. Hittade inga länkar i Sverige. Har ett Gb-LAN hemma men "bara" 10/10Mbit mot internet.

/t

Håller med om att man gör klokt i att köra hw fw framför maskinen, exemplet var dock menat att om man nu vill exponera tjänster mot internet så måste du ju släppa igenom den trafiken genom fw ändå, dvs stor risk att man är sårbar för kända exploits i resp programvara. Där kan ju zoner bli ett extra lager med säkerhet - programvaran hackar dom ju ändå, men hosten i sig är säkrare. Ska man ändå ha en burk ut mot internet som dessutom kör solaris i nån form så kan ju zoner+ipf ett bra alternativ. Det kräver ju självklart lite meck och att man tänker igenom hur man vill ha det dock.

Ang xvm så är det rätt enkelt att få igång. Lite för enkelt nästan (typ 3 rader så har man installern igång i domu:n), svårt att föreställa sig om det är nåt man måste tänka på för framtiden, nåt som kan ställa till problem etc. Kan tänka mig att upgrades osv kan bli lite problematiska, men den dan den sorgen (iofs snart!)
Och iom att man kör zfs i botten så får man ju snapshots och hela baletten oavsett OS man kör i resp domän, smutt!
Just networking och säkerhet är väl dock det som gör mig hyfsat snurrig f.n. iom att trafiken passerar interface i dom0 och sen vidare in i domu där tjänsterna ligger exponerade (i en zon). Lätt att misstänka att man reglar, låser och kör kardborreband bara för att missa att huvudentren var öppen typ... Blir nog lite meck att peta ihop lämpliga fw regler tror jag.

Ang VNIC i zone vet jag inte om jag är med på vad du menar (har mest kört Solaris zoner och det verkar vara en del skillnader). Har snubblat över VNIC termen nångång men ej kollat upp vad det innebär (antar att det inte är samma som logiskt interface?)

I ren Solaris 10 kan man ju välja mellan en shared-ip zone (där interfacet i zonen blir ett logiskt interface från valt interface i globala zonen, ryp rge0:1) alt köra exclusive ip där man dedikerar interface till zonen. Kör man shared ip har man ju inte access till underliggande devicet, kan ej köra snoop, ej köra ipf i zonen osv.

@bzzz
Jag tror att vi pratar "förbi varandra". Mina preferenser är ifrån linux-världen så det kanske inte gäller på solaris?

Som jag har förstått det så skapar man en VNIC indirekt när man skapar en zone i mitt fall heter mitt NIC rgb0. När jag skapar en zone så får den en VNIC som heter typ rgb0:1, dvs NIC:en i global zone går in i "promiscuous mode". Om det inte är så så måste jag ha missat något ...?

Jag vet att xvm är lätt att få igång, problemet är inte att få igång den, som du skriver, vad händer sen ...?

/t

Jo, det händer en del nytt nu så jag har personligen lite svårt att hänga med överallt. Mina preferenser är främst från Solaris och det skiljer ju en del...

När det gäller logiska interface så är det funktionalitet som funnits länge (typ sen 5.5 eller nåt sånt) och finns i linux också. Handlar bara om att koppla flera ip-stackar till samma fysiska interface, typ rge0:1, rge0:2 osv (bara köra t.ex. ifconfig rge0:1 plumb för att dra igång ett sådant).
promiscuos mode vet jag inte om man kan kalla det men visst, all trafik går ju via det fysiska interfacet. Alla paket från logiska/fysiska interface härstammar ju dock från samma mac-address (behöver således inte vara promiscous).
Eftersom varje zone ska vara en isolerad enhet så förhindrar privilegierna för zoner man för shared ip zones inte kommer åt det fysiska devicet i sig - t.ex. ingen snoop.
Vill man köra nät-trafik som kräver interface-access så kan man sen ett par updates tillbaks dedikera interface för enskilda zoner.

Ska definitivt inte svära på att jag inte missat nåt dock!

@bzzz
Jag tror dig, jag är för ny på OpenSolaris - har ingen större erfarenhet. Jobbade med Solaris för ett par år sedan men inte på "low level" nivå. Jag får läsa på!

/t

@saddam
Ser intressant ut! Det där med IP är inte helt lätt i OS! Jag kommer ifrån Linux-världen och har en hel del preferenser. I OS verkar det vara helt annorlunda. Mycket "lära om", men det gör jag gärna eftersom det är detta O/S jag kommer att satsa på i framtiden (Om inte IBM sätter käppar i hjulen).

<"offtopic">
Jag har ett litet nytt projekt på G. Det handlar om att köra MythTV som backend på OS. Som frontend ska jag köra XBMC. Det är många som försökt innan mig men jag kan inte hitta någon som har lyckats.
Köpte en "billig" USB-pinne idag för att se hur mottagningen blev. Med den lilla antennen blev det inge kul På "kontoret" fick jag bara in Danska kanaler och i vardagsrummet fick jag bara in Svenska kanaler. Via "combort" fick jag inte in någonting (ingår i föreningens "hyra"). Någon som kan reka en bra antenn?
</"offtopic">

/t

Nja, kolla TV och framförallt spela in från TV, typ en gammal hederlig video
När det gäller Sun vs IBM så är jag nog inte helt övertygad. OM IBM tar över Sun så tror jag inte att de kommer att satsa på OS. Förmodligen forkas OS men vad händer sen? Utan support ifrån Sun så tror jag inte att OS kommer att överleva. Det är nog tyvärr för liten marknad för detta fantastiska O/S

/t

@saddam
Jag hoppas det!

@JBerger
SMF är det rätta sättet på OS - dock måste läsa på ordentligt, manifest mm.

Annars kan du ju göra som man gjorde "förr i tiden":
# vi /etc/inittab
SV:123456:respawn:/your/path/start_service.sh </dev/null >/var/adm/start_service.log 2>&1

@jookeer
Håller med.

Hmm ... Jag kanske har missat något men det är väl bara till att stänga ner PC:n som vanligt och sedan "väcka" den med WOL?

För ett par år sedan så hade jag denna konfig:
- Öppnade port 443 i brandväggen
- Släppte in jobbets IP-adress
- Bytte ifrån port 443 -> 22 i brandväggen till min linuxburk
- Loggade in via putty på linuxburken
- skickade ett "WOL-paket" till min XP-burk
- Satte upp en tunnel via putty (rdp-protokollet)
- Efter en stund när XP hade bootat så körde jag en rdp-connection mot den

Funkade utmärkt!

Jag har inte testat mot OS eftersom det inte är aktuellt - den är ju alltid på.

/t

@ronnylov

Ok, jag trodde att det skulle vara en nödlösning för att starta servern från t ex jobbet. Om jag inte minns fel så är det bara en inställning i BIOS för WOL.

<OT> Jag har lekt lite med MythTV idag (på Ubuntu), det är riktigt coolt. Klarar streama LiveTV till gamla XBox:en och en laptop via WLAN:et. Om jag får tid i helgen ska jag testa med en virtuell ubuntu på OS. </OT>

EDIT: Ny VirtualBox från SUN: http://pressmeddelanden.idg.se/2.4880/1.223381

@saddam

helgen har ju knappt börjat Tyvärr ska jag åka till stugan (tror inte 3G-mottagningen funkar där). Det blir nog tidigast på söndag em.

/t