Fehler bei dhcp an virtuellem interface eth1:xx

[McAldo]

Hallo

Ich komme nun nicht mehr weiter, daher meine Anfrage.

Ich versuche in einem vserver dhcp 3 an einem virtuellem Interface lauschen zu lassen (also an eth1:xx)

Starte ich den dhcp3-server bekomme ich in syslog folgene Meldung:

Code: Alles auswählen

Dec 26 15:20:29 dhcp dhcpd: Internet Systems Consortium DHCP Server V3.0.1
Dec 26 15:20:29 dhcp dhcpd: Copyright 2004 Internet Systems Consortium.
Dec 26 15:20:29 dhcp dhcpd: All rights reserved.
Dec 26 15:20:29 dhcp dhcpd: For info, please visit http://www.isc.org/sw/dhcp/
Dec 26 15:20:29 dhcp dhcpd: Wrote 0 deleted host decls to leases file.
Dec 26 15:20:29 dhcp dhcpd: Wrote 0 new dynamic host decls to leases file.
Dec 26 15:20:29 dhcp dhcpd: Wrote 0 leases to leases file.
Dec 26 15:20:29 dhcp dhcpd:
Dec 26 15:20:29 dhcp dhcpd: No subnet declaration for eth1:xx (0.0.0.0).
Dec 26 15:20:29 dhcp dhcpd: ** Ignoring requests on eth1:xx.  If this is not what
Dec 26 15:20:29 dhcp dhcpd:    you want, please write a subnet declaration
Dec 26 15:20:29 dhcp dhcpd:    in your dhcpd.conf file for the network segment
Dec 26 15:20:29 dhcp dhcpd:    to which interface eth1:xx is attached. **
Dec 26 15:20:29 dhcp dhcpd:
Dec 26 15:20:29 dhcp dhcpd:
Dec 26 15:20:29 dhcp dhcpd: Not configured to listen on any interfaces!

In /etc/default/dhcp3-server steht dieses Interface drin und wir im init-Script eingebunden (so meine Annahme):

Code: Alles auswählen

# Read init script configuration (so far only interfaces the daemon
# should listen on.)
source /etc/default/dhcp3-server
..
...
...
start)
                echo -n "Starting DHCP server: "
                start-stop-daemon --start --quiet --pidfile $DHCPDPID \
                        --exec /usr/sbin/dhcpd3 -- -q $INTERFACES
                sleep 2
...
... 

Die dhcpd.conf dazu ist hier: http://nopaste.debianforum.de/1935

Wer weiß Rat?

McAldo

[meandtheshell]

hallo du

kannst du bitte einmal die Ausgabe von

Code: Alles auswählen

cat /usr/local/etc/vservers/DebianSid/bcapabilities

posten. Für DebianSid setze den Namen des linux-Vservers ein in dem du den dhcpd laufen lassen möchtest.
Aus dem MUC ist mir bekannt das du einen 2.6er gepatched hast - d.h. es sollte/muss da ein eintrag für die Interfaces drinnen stehen.

greets markus (der mit ca. 900 km/h Richtung heimat unterwegs ist )

[McAldo]

Hi meandtheshell

Ich hab mal noch weiter gesucht und auch im vserver-Chat gefragt. Offenbar ist es besser (weil sicherer), dhcp im Host laufen zu lassen und nicht in einem Gastsystem. Der DHCP-Server soll direkt an eth1 lauschen.

Hm..., irgendwas muß aber falsch sein. Die Datei bcapabilities gibt es nicht in dem Verzeichnis und auch nicht sonstwo im System (locate bcapabilities).

Ich werde den DHCP-Server erstmal im Host einrichten um weiter zu kommen. Das kann ja später immer noch umziehen.

McAldo

[meandtheshell]

Offenbar ist es besser (weil sicherer), dhcp im Host laufen zu lassen und nicht in einem Gastsystem.

Wer hat der diesen Ratschlag gegeben? Der Main Developer AKA Bertl? Wenn ja dann bin ich erstaunt/verwundert/verwirrt ...


Hast du im Main Channel

Code: Alles auswählen

#vserver@irc.otfc.net

gefragt?

Hm..., irgendwas muß aber falsch sein. Die Datei bcapabilities gibt es nicht in dem Verzeichnis und auch nicht sonstwo im System (locate bcapabilities).

IIRC hast du den Kernel auf deiner maschine kompiliert ohne .configure neue Path Anweisungen zu geben d.h. config files für die vserver liegen in

Code: Alles auswählen

/usr/local/etc/vservers/*

markus

[McAldo]

Wer hat der diesen Ratschlag gegeben? Der Main Developer AKA Bertl? Wenn ja dann bin ich erstaunt/verwundert/verwirrt ...

Hast du im Main Channel

Code: Alles auswählen

#vserver@irc.otfc.net

gefragt?

Ja, da habe ich gefragt und dieser hat mir das gesagt. Ich hoffe, ich habe das auch richtig verstanden.

IIRC hast du den Kernel auf deiner maschine kompiliert ohne .configure neue Path Anweisungen zu geben d.h. config files für die vserver liegen in

Code: Alles auswählen

/usr/local/etc/vservers/*

Die Konfigfiles liegen alle in /etc/vservers. In /usr/local/ hab ich kein etc.

Ein updatedb und anschließendes locate bcapabilities zeigte mir nichts an.

McAldo

[meandtheshell]

hallo nun ich musste das fragen - siehe selbst

Code: Alles auswählen

(19:01:14) meandtheshell: hi folks - I've got a question: what is better/more secure - running a dhcpd inside a Vserver or on the host?
(19:01:56) Bertl: hmm, seems we had that question a few minutes ago :)
(19:02:34) meandtheshell: right - that guy told me it's better to run a dhcpd on the host - why?
(19:03:20) Bertl: let me put the 'security' like this:
(19:04:00) Bertl: (on host) <= (on guest) <= (normal guest)
(19:04:18) Bertl: where we could make the second less or equal a less
(19:04:43) Bertl: the guest will require CAP_NET_RAW for non-ip protocols (as dhcp is)
(19:05:11) meandtheshell: right - thats what the FAQ told me
(19:07:26) Bertl: yes, this cap will allow the guest to create arbitrary packets (like the host) and listen (sniff) to network traffci
(19:07:46) Bertl: you still get the process isolation, but it doesn't make sense to 'restrict' dhcp to IPs
(19:08:02) meandtheshell: ok - I think that answered my question regarding security Issue- is there a generall suggestion where a dhcpd should run (guest or host)
(19:08:02) Bertl: dinnertime, back in half an hour ...
(19:08:26) Bertl: no, but IMHO the host makes less troubles
(19:08:33) meandtheshell: ok - thank's ;-)
(19:08:44) Bertl: (as dhcp has to know about all entworks to work)
(19:08:56) Bertl is now known as Bertl_oO

FAZIT:
Ich habe schon recht - sicherer aber aufwändiger ist sicher den dhcpd in einen guest zu legen


markus

[McAldo]

Hab ich das wohl etwas durcheinander gehauen. :/

Damit ist aber noch nicht geklärt, warum die Datei fehlt. Und wie bekomme ich den dhcp in den Gast? Wo steht was dazu?

McAldo