iptables направляет трафик через vpn

Question 1

Прежде всего, превосходный рисунок, ссылка на который приведена на странице ArchLinux wiki iptables, полезен для идентификации потока пакетов через различные iptablesцепочки (внизу ответа).

Резервное копирование

iptables-save > back.up.file

Проверьте версию дистрибутива Linux, которую вы используете. Мне нужно было это добавить, sudoтак как у меня не было прав root.

Вопрос 2(а), 2(б)

Для определения адресов источника и назначения я нашел очень полезными функции LOGи :TRACE

iptables -t filter -I OUTPUT -m limit --limit 5/m --limit-burst 10 -j LOG  --log-prefix "ABC-LOG-PREFIX "

Таблица по умолчанию, filterно я указал это явно, чтобы вы могли видеть синтаксис, особенно если вы хотите изучить другие таблицы mangleи natт. д. Я вставил правило, -Iпотому что хотел, чтобы пакеты регистрировались до применения других правил. Добавил ограничение скорости, чтобы файл журнала не переполнялся -m limit --limit 5/m --limit-burst 10. Наконец, добавил префикс, чтобы можно было легко искать в файле журнала --log-prefix. Например, в Linux Mint:

cat /var/log/kern.log | grep "ABC-LOG-PREFIX"

Во-вторых, для отладки TRACEкоманда будет отслеживать пакет на протяжении всего процесса:

IPTABLES -t raw -A PREROUTING -p tcp -j TRACE

Внимание, это отследитвсеTCP-пакеты, для получения дополнительной информации см.Админ Берлин

Вопрос 3

Поскольку оба интерфейса ( eth0и tun0) находились на одном хосте, из диаграммы фильтра пакетов ниже вы можете видеть, что для исходящего трафика они начинаются в одной и той же точке. Какой маршрут выберет пакет, определяется шлюзом по умолчанию и связанным с ним интерфейсом, который можно определить с помощью iproute2запуска:

ip route

Это покажет шлюз по умолчанию, а также какие интерфейсы используются для каких диапазонов адресов.

Диаграмма потока пакетов

диаграмма потока пакетов iptables

Answer

Прежде всего, превосходный рисунок, ссылка на который приведена на странице ArchLinux wiki iptables, полезен для идентификации потока пакетов через различные iptablesцепочки (внизу ответа).

Резервное копирование

iptables-save > back.up.file

Проверьте версию дистрибутива Linux, которую вы используете. Мне нужно было это добавить, sudoтак как у меня не было прав root.

Вопрос 2(а), 2(б)

Для определения адресов источника и назначения я нашел очень полезными функции LOGи :TRACE

iptables -t filter -I OUTPUT -m limit --limit 5/m --limit-burst 10 -j LOG  --log-prefix "ABC-LOG-PREFIX "

Таблица по умолчанию, filterно я указал это явно, чтобы вы могли видеть синтаксис, особенно если вы хотите изучить другие таблицы mangleи natт. д. Я вставил правило, -Iпотому что хотел, чтобы пакеты регистрировались до применения других правил. Добавил ограничение скорости, чтобы файл журнала не переполнялся -m limit --limit 5/m --limit-burst 10. Наконец, добавил префикс, чтобы можно было легко искать в файле журнала --log-prefix. Например, в Linux Mint:

cat /var/log/kern.log | grep "ABC-LOG-PREFIX"

Во-вторых, для отладки TRACEкоманда будет отслеживать пакет на протяжении всего процесса:

IPTABLES -t raw -A PREROUTING -p tcp -j TRACE

Внимание, это отследитвсеTCP-пакеты, для получения дополнительной информации см.Админ Берлин

Вопрос 3

Поскольку оба интерфейса ( eth0и tun0) находились на одном хосте, из диаграммы фильтра пакетов ниже вы можете видеть, что для исходящего трафика они начинаются в одной и той же точке. Какой маршрут выберет пакет, определяется шлюзом по умолчанию и связанным с ним интерфейсом, который можно определить с помощью iproute2запуска:

ip route

Это покажет шлюз по умолчанию, а также какие интерфейсы используются для каких диапазонов адресов.

Диаграмма потока пакетов

диаграмма потока пакетов iptables

Question 2

Насколько я могу судить, вы говорите о раздельном туннелировании (или, скорее, о попытке его отключить).

Взгляните на директиву redirect-gateway в OpenVPN:https://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Answer

Насколько я могу судить, вы говорите о раздельном туннелировании (или, скорее, о попытке его отключить).

Взгляните на директиву redirect-gateway в OpenVPN:https://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Question 3

В следующих примерах имя устройства VPN — tun0 (OpenVPN), а имя шлюза VPN — 172.21.23.172.

#1 - Установите VPN на свой маршрутизатор Linux (я использую ipvanish с openvpn)

#2 - Маршрутизация трафика с использованием iptables

sudo iptables -t nat -A POSTROUTING -o [VPN dev] -j MASQUERADE

пример:

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

#3 — Настройте таблицы маршрутизации (чтобы гарантировать, что весь трафик будет направляться через VPN)

sudo ip route add default via [VPN ipv4 address] dev [VPN dev]

пример:

sudo ip route add default via 172.21.23.172 dev tun0

#4 — Проверьте, что устройства в сети действительно маршрутизируются через VPN, выполнив следующие команды:

Windows: tracert 1.1.1.1Linux:traceroute 1.1.1.1

готово!

Answer

В следующих примерах имя устройства VPN — tun0 (OpenVPN), а имя шлюза VPN — 172.21.23.172.

#1 - Установите VPN на свой маршрутизатор Linux (я использую ipvanish с openvpn)

#2 - Маршрутизация трафика с использованием iptables

sudo iptables -t nat -A POSTROUTING -o [VPN dev] -j MASQUERADE

пример:

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

#3 — Настройте таблицы маршрутизации (чтобы гарантировать, что весь трафик будет направляться через VPN)

sudo ip route add default via [VPN ipv4 address] dev [VPN dev]

пример:

sudo ip route add default via 172.21.23.172 dev tun0

#4 — Проверьте, что устройства в сети действительно маршрутизируются через VPN, выполнив следующие команды:

Windows: tracert 1.1.1.1Linux:traceroute 1.1.1.1

готово!

iptables направляет трафик через vpn

Вопрос 1

Вопрос 2(а)

Вопрос 2(б)

Вопрос 3

решение1

Резервное копирование

Вопрос 2(а), 2(б)

Вопрос 3

Диаграмма потока пакетов

решение2

решение3

Связанный контент