Форум русскоязычного сообщества Ubuntu


Автор Тема: Запрет форвардинга между двумя интерфейсами на одной машине.  (Прочитано 528 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн nowaycantstay

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
на ubuntu поднимаются два виртуальных интерфейса tun0 (с vpn-сервером) и tun2(vpn-клиент), при этом клиент не должен подключаться к серверу на этой системе, а должен подключаться к серверу с такой же конфигурацией на другой машине. Наверное, нужно запретить форвардинг между интерфейсами, но как именно - я не совсем представляю.Помогите, пожалуйста

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13462
    • Просмотр профиля
Зависит от политики управления netfilter. У Вас какая?
И вообще, разрешён ли форвардинг на системе как таковой?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн ALiEN175

  • Старожил
  • *
  • Сообщений: 1468
  • X-9000SC
    • Просмотр профиля
sysctl net.ipv4.ip_forward0-запрещен
1-разрешен
417263686c696e7578

Оффлайн MooSE

  • Активист
  • *
  • Сообщений: 740
    • Просмотр профиля
Немного не понятно что вы хотите сделать.

Из того что я понял:
1. у вас есть железка, на ней крутится VPN-сервер, использующий серый интерфейс tun0
2. эта железка цепляется к другому VPN-серверу и это подключение имеет интерфейс tun2

Какой клиент куда должен/не должен подключаться?

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13462
    • Просмотр профиля
Какая разница кто куда цепляется и крутится. Есть два интерфейса, природа их возникновения не имеет значения. Задачей является запрет пропуска пакетов с одного интерфейса на другой. Есть два основных механизма, которые за это отвечает. Точнее механизм один - netfilter, но подход с двух сторон. Это форвард пакетов как таковой, который озвучил уважаемый ALiEN175, и управлением пакетов с помощью правил netfilter.
В правилах применяется два типа политики: всё разрешено, кроме того что запрещено; и всё запрещено, кроме того, что разрешено. Всё остальное уже производные.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн EvangelionDeath

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2378
  • Ubuntu Mate 16.04 х64
    • Просмотр профиля
nowaycantstay, сел, почитал ваше сообщение... потом прочитал еще раз... и еще.

Меня смутило только одно: а при чем тут вообще форвардинг и при чем тут клиент, и вообще, что за клиент и вообще куда он должен подключатся. Желательно еще схему сети.

А то честно, нифига не ясно: есть сервер ВПН, но туда клиент не должен подключатся. Вопрос: нафига тогда вообще такой сервер? Это решается даже обычным пробросом портов.

Короче: рисуете схему и показываете, что куда подключено и кто куда должен и не должен подключатся

Fujitsu UH552: Intel Core i3-3217U, 16GB DDR3 1600MHz, Intel HD4000, Intel 535 120GB/Ubuntu 16.04 Mate
HP 625: AMD Athlon P320, 4GB DDR3 1333MHz, AMD HD4250, Seagate Momentus/Ubuntu 14.04 Mate

Оффлайн MooSE

  • Активист
  • *
  • Сообщений: 740
    • Просмотр профиля
Какая разница кто куда цепляется и крутится. Есть два интерфейса, природа их возникновения не имеет значения. Задачей является запрет пропуска пакетов с одного интерфейса на другой. Есть два основных механизма, которые за это отвечает. Точнее механизм один - netfilter, но подход с двух сторон. Это форвард пакетов как таковой, который озвучил уважаемый ALiEN175, и управлением пакетов с помощью правил netfilter.
В правилах применяется два типа политики: всё разрешено, кроме того что запрещено; и всё запрещено, кроме того, что разрешено. Всё остальное уже производные.

Не буду утверждать, но мне показалось что у топик-стартера возникла проблема с написанием правил iptables (т.е. полное отключение пересылки в его случае не подходит). Ну и чтобы помочь топик-стартеру надо понять что он пытается сделать.

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13462
    • Просмотр профиля
чтобы помочь топик-стартеру надо понять что он пытается сделать.
А для того чтобы помочь топик-стартеру, нужен сам топик-стартер, а как раз этого у нас и нет.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн nowaycantstay

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Во-первых, прошу прощения у всех, кто принимал хоть какое-то участие в обсуждении моей проблемы, за свое долгое и неуважительное отсутствие.
Во-вторых, прошу прощения за невнятное, запутанное и неточное изложение своей проблемы.

Мне нужно, чтобы было хотя бы как на первой картинке, но как только eth0 коннектится с WinXP, заданный статически адрес eth1 пропадает.

В идеале - чтобы было как на второй, там этакий Man-In-The-Middle в VPN-соединении, до ARP-poison и ARP-storm я еще не доходил, потому что верил, что можно сделать так, чтобы eth0(ну и tap0 также) не знал,не видел, не мог даже подозревать о существовании eth1(tap1) и обо всем, что находится со стороны этого интерфейса.

Спасибо за внимание.

Оффлайн EvangelionDeath

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2378
  • Ubuntu Mate 16.04 х64
    • Просмотр профиля
nowaycantstay, начнем с банального:
- интерфейсы должны быть в разных подстетях, что бы можно было рулить нормальной маршрутизацией. И потому что вас они в одной подсети, то и получается, что интерфейс "отключается" тот, который неактивен.
Fujitsu UH552: Intel Core i3-3217U, 16GB DDR3 1600MHz, Intel HD4000, Intel 535 120GB/Ubuntu 16.04 Mate
HP 625: AMD Athlon P320, 4GB DDR3 1333MHz, AMD HD4250, Seagate Momentus/Ubuntu 14.04 Mate

Оффлайн nowaycantstay

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
EvangelionDeath, я не могу вынести их в разные подсети, потому что не могу изменить конфигурации со стороны WinXP-клиента

Оффлайн EvangelionDeath

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2378
  • Ubuntu Mate 16.04 х64
    • Просмотр профиля
nowaycantstay, вы хотите сделать "правильно", но при этом на неправильной топологии сети.
Исходя из картинок у вас вообще 3 интерфейса имеют один ИП. как минимум eth1 надо 192.168.0.2, а не 192.168.0.1
Fujitsu UH552: Intel Core i3-3217U, 16GB DDR3 1600MHz, Intel HD4000, Intel 535 120GB/Ubuntu 16.04 Mate
HP 625: AMD Athlon P320, 4GB DDR3 1333MHz, AMD HD4250, Seagate Momentus/Ubuntu 14.04 Mate

Оффлайн nowaycantstay

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
EvangelionDeath, извините, я ошибся в схеме, у WinXP 192.168.0.2.
Да, вы правы, топология неправильная, поэтому меня и интересует, как можно сделать так, чтобы на одной машине интерфейсы не видели друг друга.

Пользователь добавил сообщение 16 Январь 2018, 13:21:40:

Оффлайн бамбук

  • Активист
  • *
  • Сообщений: 292
  • Xubuntu 17.04
    • Просмотр профиля
имхо
нужно создать две подсети (или 254 или сколько нужно)
так называемых влана

маршрутизатор - комп с Ubuntu
влану №1 не зачем знать о содержимом кадра для влан №2
что настраивается в таблицах маршрутизации
 
ну или два отдельных туннеля если у вас впн  ... с разными адресами (сетей - подсетей ) незнаю что у вас там .

Cisco Packet Tracer  - очень неплохой симулятор для решения задачек

на худой конец с его помощью сможете наконец всем объяснить чего вы на самом деле хотите .
« Последнее редактирование: 16 Январь 2018, 18:15:42 от бамбук »
Samsung R519

Онлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13462
    • Просмотр профиля
симулятор
это слово в русском языке имеет другое значение, нежели Вы вкладывали в него.
По-русски это "очень неплохой эмулятор" для обучения основам построения сетей
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

 

Страница сгенерирована за 0.463 секунд. Запросов: 24.