iptables direcionando o tráfego através de VPN

Question 1

Em primeiro lugar, a excelente figura vinculada à página iptables do wiki do ArchLinux é útil para identificar o fluxo de pacotes através das várias iptablescadeias (na parte inferior da resposta).

Cópia de segurança

iptables-save > back.up.file

Verifique o seu tipo de distribuição Linux, precisei acrescentar sudoporque não era root.

Questão 2(a), 2(b)

Para determinar os endereços de origem e destino, achei as funções LOGe TRACEmuito úteis:

iptables -t filter -I OUTPUT -m limit --limit 5/m --limit-burst 10 -j LOG  --log-prefix "ABC-LOG-PREFIX "

A tabela padrão é, filtermas eu a declarei explicitamente para que você possa ver a sintaxe, especialmente se quiser explorar outras tabelas mangle, natetc. Inseri a regra -Iporque queria que os pacotes fossem registrados antes que outras regras fossem aplicadas. Adicionado um limite de taxa para que o arquivo de log não fique saturado -m limit --limit 5/m --limit-burst 10. Finalmente foi adicionado um prefixo para que o arquivo de log possa ser pesquisado facilmente --log-prefix. Por exemplo, no Linux Mint:

cat /var/log/kern.log | grep "ABC-LOG-PREFIX"

Em segundo lugar, para depuração, o TRACEcomando rastreará um pacote durante todo o processo:

IPTABLES -t raw -A PREROUTING -p tcp -j TRACE

Atenção, isso rastrearátodospacotes tcp, para mais informações vejaAdministrador Berlim

Questão 3

Como ambas as interfaces ( eth0e tun0) estavam no mesmo host, no diagrama de filtro de pacotes abaixo você pode ver que o tráfego de saída começa no mesmo ponto. A rota que um pacote segue é determinada pelo gateway padrão e sua interface associada, que pode ser determinada executando iproute2:

ip route

Isso mostrará o gateway padrão, quais interfaces são usadas para quais intervalos de endereços.

Diagrama de fluxo de pacotes

diagrama de fluxo de pacotes iptables

Answer

Em primeiro lugar, a excelente figura vinculada à página iptables do wiki do ArchLinux é útil para identificar o fluxo de pacotes através das várias iptablescadeias (na parte inferior da resposta).

Cópia de segurança

iptables-save > back.up.file

Verifique o seu tipo de distribuição Linux, precisei acrescentar sudoporque não era root.

Questão 2(a), 2(b)

Para determinar os endereços de origem e destino, achei as funções LOGe TRACEmuito úteis:

iptables -t filter -I OUTPUT -m limit --limit 5/m --limit-burst 10 -j LOG  --log-prefix "ABC-LOG-PREFIX "

A tabela padrão é, filtermas eu a declarei explicitamente para que você possa ver a sintaxe, especialmente se quiser explorar outras tabelas mangle, natetc. Inseri a regra -Iporque queria que os pacotes fossem registrados antes que outras regras fossem aplicadas. Adicionado um limite de taxa para que o arquivo de log não fique saturado -m limit --limit 5/m --limit-burst 10. Finalmente foi adicionado um prefixo para que o arquivo de log possa ser pesquisado facilmente --log-prefix. Por exemplo, no Linux Mint:

cat /var/log/kern.log | grep "ABC-LOG-PREFIX"

Em segundo lugar, para depuração, o TRACEcomando rastreará um pacote durante todo o processo:

IPTABLES -t raw -A PREROUTING -p tcp -j TRACE

Atenção, isso rastrearátodospacotes tcp, para mais informações vejaAdministrador Berlim

Questão 3

Como ambas as interfaces ( eth0e tun0) estavam no mesmo host, no diagrama de filtro de pacotes abaixo você pode ver que o tráfego de saída começa no mesmo ponto. A rota que um pacote segue é determinada pelo gateway padrão e sua interface associada, que pode ser determinada executando iproute2:

ip route

Isso mostrará o gateway padrão, quais interfaces são usadas para quais intervalos de endereços.

Diagrama de fluxo de pacotes

diagrama de fluxo de pacotes iptables

Question 2

Pelo que sei, você está falando sobre tunelamento dividido (ou melhor, tentando desativá-lo).

Dê uma olhada na diretiva de gateway de redirecionamento no OpenVPN:https://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Answer

Pelo que sei, você está falando sobre tunelamento dividido (ou melhor, tentando desativá-lo).

Dê uma olhada na diretiva de gateway de redirecionamento no OpenVPN:https://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Question 3

Nos exemplos a seguir, o nome do dispositivo VPN é tun0 (OpenVPN) e o gateway VPN é 172.21.23.172

#1 - Instale VPN em seu roteador Linux (estou usando ipvanish com openvpn)

#2 – Roteie o tráfego usando iptables

sudo iptables -t nat -A POSTROUTING -o [VPN dev] -j MASQUERADE

exemplo:

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

#3 – Configure tabelas de roteamento (para garantir que todo o tráfego seja roteado através da VPN)

sudo ip route add default via [VPN ipv4 address] dev [VPN dev]

exemplo:

sudo ip route add default via 172.21.23.172 dev tun0

#4 - Verifique se os dispositivos na rede estão realmente roteando através da VPN executando estes comandos:

Janelas: tracert 1.1.1.1Linux:traceroute 1.1.1.1

Você Terminou!

Answer

Nos exemplos a seguir, o nome do dispositivo VPN é tun0 (OpenVPN) e o gateway VPN é 172.21.23.172

#1 - Instale VPN em seu roteador Linux (estou usando ipvanish com openvpn)

#2 – Roteie o tráfego usando iptables

sudo iptables -t nat -A POSTROUTING -o [VPN dev] -j MASQUERADE

exemplo:

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

#3 – Configure tabelas de roteamento (para garantir que todo o tráfego seja roteado através da VPN)

sudo ip route add default via [VPN ipv4 address] dev [VPN dev]

exemplo:

sudo ip route add default via 172.21.23.172 dev tun0

#4 - Verifique se os dispositivos na rede estão realmente roteando através da VPN executando estes comandos:

Janelas: tracert 1.1.1.1Linux:traceroute 1.1.1.1

Você Terminou!

iptables direcionando o tráfego através de VPN

Questão 1

Pergunta 2(a)

Pergunta 2(b)

Questão 3

Responder1

Cópia de segurança

Questão 2(a), 2(b)

Questão 3

Diagrama de fluxo de pacotes

Responder2

Responder3

informação relacionada