Uma ótima definição sobre Jail esta disponível no Wikipedia no endereço:
http://pt.wikipedia.org/wiki/FreeBSD_jail

Para iniciar-mos o tutorial, precisamos como pre-requisito que você conheça como recompilar o kernel do FreeBSD, tarefa ao qual existem bons documentos disponíveis, a começar pelo o Handbook.

No kernel precisaremos das seguintes entradas no arquivo de configuração:

options LIBALIAS
options IPFIREWALL
options IPFIREWALL_NAT
options IPFIREWALL_FORWARD
options IPFIREWALL_DEFAULT_TO_ACCEPT

options DUMMYNET
options HZ=1000

options VIMAGE

Assim que configurar o kernel, faca a recompilação do mesmo e reinicie o servidor.

No exemplo que estou citando aqui, estou usando um FreeBSD 8.1-RELEASE, para o mesmo eu apenas recompilei o kernel com as opções acima, fica ao seu critério configurar o FreeBSD, o importante que as opções citadas acima possam estar disponíveis no kernel.

Feito isso, podemos iniciar a configuração do FreeBSD, para agilizar a visualização do mesmo, eu preparei um vídeo com as alterações. Abaixo do vídeo deixei disponível os comandos para que possam ser anotadas com mais facilidade.

Utilizando ZFS, vamos criar o ambiente da Jail

zfs create tank/jails
zfs set mountpoint=/usr/jails tank/jails
zfs create tank/jails/jail_teste

Se voce executou um “make world” no seu sistema, muito provavelmente você tem os binários disponíveis no diretório “/usr/src”, então, use-o para criar o ambiente da Jail:

cd /usr/src
make installworld distribution DESTDIR=/usr/jails/jail_teste

Senão, configure a Jail usando o utilitário sysinstall conforme mostra o vídeo.

Vamos iniciar a Jail e configurar a rede:

mount -t devfs devfs /usr/jails/centreon/dev
jail -c vnet host.hostname=jail_test.server path=/usr/jails/jail_teste persist
ifconfig bridge0 create
ifconfig epair create
ifconfig bridge0 addm em0 addm epair0a up   # sendo em0 sua interface de rede real
ifconfig epair0a up
jls
 JID  IP Address      Hostname                      Path
 1  -               jail_teste.server               /usr/jails/jail_teste
ifconfig epair0b vnet 1

Agora precisamos entrar na Jail e configura-la:

jexec 1 /bin/csh

Configure a loopback:
# ifconfig lo0 127.0.0.1/8 up

Configure o ip na interface:
# ifconfig epair0b 192.168.4.231/24 up
# route add default 192.168.4.3
add net default: gateway 192.168.4.3
# echo 'nameserver 8.8.8.8' > /etc/resolv.conf

# Teste a conectividade...
# ping google.com
PING google.com (64.233.163.104): 56 data bytes
64 bytes from 64.233.163.104: icmp_seq=0 ttl=55 time=16.151 ms
64 bytes from 64.233.163.104: icmp_seq=1 ttl=55 time=18.904 ms
^C
--- google.com ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 16.151/17.527/18.904/1.377 ms

É isso… agora basta trabalhar dentro da sua Jail conforme um FreeBSD normal e usando os recursos de rede mais facilmente.

Abraços

A ideia é que em conjunto com a empresa onde Bjoern trabalha, seja negociado horas para que o mesmo dedique trabalhar na limpeza do código e na implementação de novas features. Esperamos em breve ( e já temos até uma data para que alguma coisa seja apresentada: meados de Julho deste ano) que tudo de certo e o esquema de uso de Jail no FreeBSD fique ainda melhor. Há uma previsão de que todas as alterações no projeto entre em produção na familia 9.x do FreeBSD.

Veja mais detalhes no anuncio oficial no seguinte endereço:
http://lists.freebsd.org/pipermail/freebsd-announce/2010-June/001327.html

Para a criação da Jail, vamos usar o sysinstall para criar o ambiente root dela, assim:

Antes de mais nada, não esquecer de deixar o seu sistema atualizadinho, então, vale lembrar dos comandos:

# freebsd-update
# portsnap fetch update

Supondo que você vá guardar suas jails em “/usr/jails”, vamos criar uma chamada “dns”

mkdir -p /usr/jails/dns

Agora vamos iniciar o aplicativo “sysinstall”

Escolha o item “Options”

Options Editor
Name            Value                   Name            Value
----            -----                   ----            -----
NFS Secure      NO                      Browser Exec    /usr/local/bin/links
NFS Slow        NO                      Media Type      <not yet set>
NFS TCP         NO                      Media Timeout   300
NFS version 3   YES                     Package Temp    /var/tmp
Debugging       NO                      Newfs Args      -b 16384 -f 2048
No Warnings     NO                      Fixit Console   serial
Yes to All      NO                      Re-scan Devices <*>
DHCP            NO                      Use Defaults    [RESET!]
IPv6            NO
FTP username    ftp
Editor          vi
Extract Detail  high
Release Name    8.0-RELEASE
Install Root    /usr/jails/dns
Browser package links
Use SPACE to select/toggle an option, arrow keys to move,
? or F1 for more help.  When you're done, type Q to Quit.

NFS server talks only on a secure port

e altere o item “Install Root” para o caminho da sua jail, como no exemplo acima.

Ao voltar no menu inicial, escolha o item “Configure”, depois “Distribuitions” e marque o item “base”, se quiser, pode marcar os outros pacotes, como doc, man, etc…. mas o unico exigido é realmente o pacote “base”, que é suficiente para sua Jail.

Ao sair deste menu, você sera solicitado a escolher a midia de instalação, selecione a que melhor lhe convém, CDROM ou FTP….

Prossiga a instalação e criação do seu ambiente de Jail.

Terminada a instalação, sua Jail esta pronta para ser iniciada, bastando algumas configurações em relação à isto.

Então vamos lá

vamos mexer no rc.conf agora e colocar as entradas de inicialização da jail, então, coloque as linhas abaixo adaptando-a para as suas necessidades:

jail_enable="YES"
jail_list="dns" # separe os nomes das jails com espaço
jail_dns_rootdir="/usr/jails/dns"
jail_dns_hostname="dns.dominio.com.br"
jail_dns_ip="192.168.1.100"
jail_dns_exec_start="/bin/sh /etc/rc"
jail_dns_devfs_enable="YES"
jail_dns_devfs_ruleset="devfsrules_jail"

Salve o rc.conf, pronto, a jail ta prontinha pra ser iniciada, então vamos lá:

/etc/rc.d/jail start

Para listar se a jail esta no ar:

# jls
 JID  IP Address      Hostname                      Path
 1    192.168.1.100   dns.dominio.com.br            /usr/jails/dns

Mas perai, ainda precisamos ajeitar a Jail, então, vamos entrar nela:

# jexec 1 /bin/csh

Configure uma senha para o root:

# passwd

Crie um usuario para entrar nela:

# pw add user usuario -m -G wheel -s /bin/csh

* não esquecer de colocar o usuario no grupo “wheel” para poder usar “su -”

Sete uma senha para ele:

# passwd usuario

Agora coloque as seguintes entradas no rc.conf:

sshd_enable="YES"

e agora configure o resolv.conf para que a jail consiga resolver nomes:

# echo 'nameserver 8.8.8.8' > /etc/resolv.conf

Inicie o sshd:

# /etc/rc.d/sshd start

Pronto ! sua Jail esta pronta para ser usada !!!

Uma ultima dica:
Crie uma montagem “nullfs” para o ports dentro da Jail, para isso, siga os comandos abaixo:
* Na maquina raiz:

# mkdir /usr/jails/dns/usr/ports

# mount_nullfs /usr/ports /usr/jails/dns/usr/ports

# echo '/usr/ports /usr/jails/dns/usr/ports nullfs rw 0 0' >> /etc/fstab

Pronto, agora você tem o ports compartilhado dentro da Jail.

É isso… abraços
luizgustavo@luizgustavo.pro.br

Toda a comunicação é gerenciada pelo firewall (no caso deste tutorial é o PF), portanto, iremos isolar as maquinas Jail’s em uma especie de DMZ.

Vamos ao ambiente:

Não vou entrar em detalhes de como configurar uma Jail, isto já tem documentação bem difundida e inclusive eu fiz um tutorial de como gerenciar Jail usando o software Ezjail.

Temos um FreeBSD 7.2 – Stable com:

Vamos efetuar a configuração de uma interface virtual para comunicação com as Jail’s:

ifconfig tap0 create
ifconfig tap0 172.16.50.1/24

Para tornar essa configuração permanente, use:

echo 'cloned_interfaces="tap0"' >> /etc/rc.conf
echo 'ifconfig_tap0="inet 172.16.50.1 netmask 255.255.255.0"' >> /etc/rc.conf

Dai, precisamos ainda criar um ip de alias na interface tap0 para criação de uma de nossas maquinas Jail:

ifconfig tap0 alias 172.16.50.10/32
echo 'ifconfig_tap0_alias0="inet 172.16.50.10/32"  # IP Jail Mail' >> /etc/rc.conf

Pronto, agora podemos fazer a criação de nossa Jail:

ezjail-admin create -f default mail-server.dominio.com.br 172.16.50.10

Faça as devidas configurações em relação à sua Jail.

Agora vamos configurar o firewall para criar uma entrada/saida dessa Jail na internet.

Coloque no arquivo /etc/pf.conf o seguinte conteúdo:

jail_mail-server="172.16.50.10"
nat_jail_mail-server="200.x.x.20"
if_ext="fxp0"
if_jail="tap0"
nat on $if_ext from 172.16.50.10 to any -> $nat_jail_mail-server
pass all

A partir dai é usar sua imaginação/necessidade em gerir as regras de firewall, nesse ambiente a Jail irá ficar isolada em uma especie de DMZ gerenciada pelo firewall da maquina principal, você pode inclusive criar politicas de roteamento e/ou balanceamento entre as maquinas Jail’s através do PF.