blob: a5862218a8c4e4820923f84de52e0799561fafa3 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
|
{ lib, config, pkgs, ... }:
with lib; let
cfg = config.local;
in
{
options.local.nspawn.dmz = with types; {
enable = mkEnableOption "DMZ services in a container";
net = mkOption {
type = str;
};
netBits = mkOption {
type = int;
};
hostAddr = mkOption {
type = str;
};
system = mkOption {
type = attrs;
};
};
# Situación con os-release
#
# La idea aquí es poder hacer 'btrfs subvol create /var/lib/machines/foo' y
# dejar que systemd-nspawn y el activation script creen todo lo demás. Esto
# no sirve bien debido a la prueba barata que hace systemd para revisar si el
# árbol parece contener una imagen de sistema operativo. Esta prueba falla en
# dos momentos distintos:
#
# 1. Inmediatamente tras crear un árbol vacío, puesto que os-release no existe.
# La solución naive es 'mkdir rootfs/etc && touch rootfs/etc/os-release'.
#
# 2. Luego de reiniciar el contenedor una vez que NixOS ha preparado /etc, ya que
# systemd espera un archivo regular y no telera el symlink a la store.
#
# Resulta ser que systemd revisa tanto /etc/os-release como /usr/lib/os-release.
# NixOS evidentemente no usa la segunda ruta por ser FHS, así que la duct tape
# final es 'mkdir rootfs/usr/lib && touch rootfs/usr/lib/os-release'.
config = mkIf cfg.nspawn.dmz.enable {
local = {
mailHost = {
mdaListen = cfg.nspawn.dmz.hostAddr;
saslPort = 11000;
lmtpPort = 11001;
};
nspawn.dmz = {
system =
let
containerModule = { ... }: {
#TODO: urgente: bloquear puertos de dovecot a non-postfix con iptables
config = {
boot.isContainer = true;
local.mta = {
mdaAddr = cfg.mailHost.mdaListen;
inherit (cfg.mailHost) saslPort lmtpPort;
};
};
};
in
pkgs.nixos [ ../dmz containerModule ];
net = "10.34.3.0";
netBits = 28;
hostAddr = "10.34.3.1";
};
};
systemd = {
nspawn.dmz = {
execConfig.PrivateUsers = "pick";
filesConfig.BindReadOnly = [
# idmap porque algunos hacks en nixpkgs (postfix-setup.service)
# asumen que la store es de root
"/nix/store:/nix/store:idmap"
"${cfg.nspawn.dmz.system.toplevel}/init:/sbin/init"
];
networkConfig.Port = [ "tcp:25" "tcp:80" "tcp:443" "tcp:587" ];
};
network.networks."40-ve-dmz" = {
matchConfig = {
Name = "ve-dmz";
Driver = "veth";
};
networkConfig = {
Address = "${cfg.nspawn.dmz.hostAddr}/${toString cfg.nspawn.dmz.netBits}";
LinkLocalAddressing = "yes";
DHCPServer = "yes";
IPMasquerade = "both";
LLDP = "yes";
EmitLLDP = "customer-bridge";
IPv6SendRA = "yes";
};
# IP de contenedor fijada en hostAddr + 1
dhcpServerConfig = {
PoolOffset = 2;
PoolSize = 1;
};
};
};
networking.firewall.interfaces.ve-dmz = {
allowedTCPPorts = [ cfg.mailHost.saslPort cfg.mailHost.lmtpPort ];
allowedUDPPorts = [ 67 ]; # DHCP
};
};
}
|
