Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Запрет форвардинга между двумя интерфейсами на одной машине.  (Прочитано 1771 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн nowaycantstay

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
на ubuntu поднимаются два виртуальных интерфейса tun0 (с vpn-сервером) и tun2(vpn-клиент), при этом клиент не должен подключаться к серверу на этой системе, а должен подключаться к серверу с такой же конфигурацией на другой машине. Наверное, нужно запретить форвардинг между интерфейсами, но как именно - я не совсем представляю.Помогите, пожалуйста

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Зависит от политики управления netfilter. У Вас какая?
И вообще, разрешён ли форвардинг на системе как таковой?

Оффлайн ALiEN

  • Администратор
  • Старожил
  • *
  • Сообщений: 6690
  • 20% Cooler
    • Просмотр профиля
sysctl net.ipv4.ip_forward0-запрещен
1-разрешен
🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн MooSE

  • Старожил
  • *
  • Сообщений: 1110
    • Просмотр профиля
Немного не понятно что вы хотите сделать.

Из того что я понял:
1. у вас есть железка, на ней крутится VPN-сервер, использующий серый интерфейс tun0
2. эта железка цепляется к другому VPN-серверу и это подключение имеет интерфейс tun2

Какой клиент куда должен/не должен подключаться?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Какая разница кто куда цепляется и крутится. Есть два интерфейса, природа их возникновения не имеет значения. Задачей является запрет пропуска пакетов с одного интерфейса на другой. Есть два основных механизма, которые за это отвечает. Точнее механизм один - netfilter, но подход с двух сторон. Это форвард пакетов как таковой, который озвучил уважаемый ALiEN175, и управлением пакетов с помощью правил netfilter.
В правилах применяется два типа политики: всё разрешено, кроме того что запрещено; и всё запрещено, кроме того, что разрешено. Всё остальное уже производные.

Оффлайн EvangelionDeath

  • Администратор
  • Старожил
  • *
  • Сообщений: 3487
  • Ubuntu 22.04 х64
    • Просмотр профиля
nowaycantstay, сел, почитал ваше сообщение... потом прочитал еще раз... и еще.

Меня смутило только одно: а при чем тут вообще форвардинг и при чем тут клиент, и вообще, что за клиент и вообще куда он должен подключатся. Желательно еще схему сети.

А то честно, нифига не ясно: есть сервер ВПН, но туда клиент не должен подключатся. Вопрос: нафига тогда вообще такой сервер? Это решается даже обычным пробросом портов.

Короче: рисуете схему и показываете, что куда подключено и кто куда должен и не должен подключатся

HP Pro 840 G3: Intel i5-6300U, 32GB DDR4 2133MHz, Intel 520, Intel Pro 2500 180GB/Ubuntu 22.04
Dell Latitude 5590: Intel i5-8350U, 16GB DDR4 2400MHz, Intel 620, Samsung 1TB/Ubuntu 22.04

Оффлайн MooSE

  • Старожил
  • *
  • Сообщений: 1110
    • Просмотр профиля
Какая разница кто куда цепляется и крутится. Есть два интерфейса, природа их возникновения не имеет значения. Задачей является запрет пропуска пакетов с одного интерфейса на другой. Есть два основных механизма, которые за это отвечает. Точнее механизм один - netfilter, но подход с двух сторон. Это форвард пакетов как таковой, который озвучил уважаемый ALiEN175, и управлением пакетов с помощью правил netfilter.
В правилах применяется два типа политики: всё разрешено, кроме того что запрещено; и всё запрещено, кроме того, что разрешено. Всё остальное уже производные.

Не буду утверждать, но мне показалось что у топик-стартера возникла проблема с написанием правил iptables (т.е. полное отключение пересылки в его случае не подходит). Ну и чтобы помочь топик-стартеру надо понять что он пытается сделать.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
чтобы помочь топик-стартеру надо понять что он пытается сделать.
А для того чтобы помочь топик-стартеру, нужен сам топик-стартер, а как раз этого у нас и нет.

Оффлайн nowaycantstay

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Во-первых, прошу прощения у всех, кто принимал хоть какое-то участие в обсуждении моей проблемы, за свое долгое и неуважительное отсутствие.
Во-вторых, прошу прощения за невнятное, запутанное и неточное изложение своей проблемы.

Мне нужно, чтобы было хотя бы как на первой картинке, но как только eth0 коннектится с WinXP, заданный статически адрес eth1 пропадает.

В идеале - чтобы было как на второй, там этакий Man-In-The-Middle в VPN-соединении, до ARP-poison и ARP-storm я еще не доходил, потому что верил, что можно сделать так, чтобы eth0(ну и tap0 также) не знал,не видел, не мог даже подозревать о существовании eth1(tap1) и обо всем, что находится со стороны этого интерфейса.

Спасибо за внимание.

Оффлайн EvangelionDeath

  • Администратор
  • Старожил
  • *
  • Сообщений: 3487
  • Ubuntu 22.04 х64
    • Просмотр профиля
nowaycantstay, начнем с банального:
- интерфейсы должны быть в разных подстетях, что бы можно было рулить нормальной маршрутизацией. И потому что вас они в одной подсети, то и получается, что интерфейс "отключается" тот, который неактивен.
HP Pro 840 G3: Intel i5-6300U, 32GB DDR4 2133MHz, Intel 520, Intel Pro 2500 180GB/Ubuntu 22.04
Dell Latitude 5590: Intel i5-8350U, 16GB DDR4 2400MHz, Intel 620, Samsung 1TB/Ubuntu 22.04

Оффлайн nowaycantstay

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
EvangelionDeath, я не могу вынести их в разные подсети, потому что не могу изменить конфигурации со стороны WinXP-клиента

Оффлайн EvangelionDeath

  • Администратор
  • Старожил
  • *
  • Сообщений: 3487
  • Ubuntu 22.04 х64
    • Просмотр профиля
nowaycantstay, вы хотите сделать "правильно", но при этом на неправильной топологии сети.
Исходя из картинок у вас вообще 3 интерфейса имеют один ИП. как минимум eth1 надо 192.168.0.2, а не 192.168.0.1
HP Pro 840 G3: Intel i5-6300U, 32GB DDR4 2133MHz, Intel 520, Intel Pro 2500 180GB/Ubuntu 22.04
Dell Latitude 5590: Intel i5-8350U, 16GB DDR4 2400MHz, Intel 620, Samsung 1TB/Ubuntu 22.04

Оффлайн nowaycantstay

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
EvangelionDeath, извините, я ошибся в схеме, у WinXP 192.168.0.2.
Да, вы правы, топология неправильная, поэтому меня и интересует, как можно сделать так, чтобы на одной машине интерфейсы не видели друг друга.

Пользователь добавил сообщение 16 Января 2018, 12:21:40:

Оффлайн бамбук

  • Активист
  • *
  • Сообщений: 541
  • Kubuntu 20.04 LTS x86_64
    • Просмотр профиля
имхо
нужно создать две подсети (или 254 или сколько нужно)
так называемых влана

маршрутизатор - комп с Ubuntu
влану №1 не зачем знать о содержимом кадра для влан №2
что настраивается в таблицах маршрутизации
 
ну или два отдельных туннеля если у вас впн  ... с разными адресами (сетей - подсетей ) незнаю что у вас там .

Cisco Packet Tracer  - очень неплохой симулятор для решения задачек

на худой конец с его помощью сможете наконец всем объяснить чего вы на самом деле хотите .
« Последнее редактирование: 16 Января 2018, 17:15:42 от бамбук »
Chuwi LapBook 14.1   ревизия ноутбука-3.0

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
симулятор
это слово в русском языке имеет другое значение, нежели Вы вкладывали в него.
По-русски это "очень неплохой эмулятор" для обучения основам построения сетей

 

Страница сгенерирована за 0.051 секунд. Запросов: 25.