filtrovani tun device - eternity router

Dan Lukes dan at obluda.cz
Mon Mar 22 21:17:45 CET 2004


Radim Kolar wrote:

> potrebuju vedet jak jezdi packety v eternity routeru (pouziva tun device),
> jakakoliv jina VPN (napr. openvpn.sf.net) by to mela mit shodne.
> 
> Trasa packetu: sitovka in -> VPN tun device -> Sitovka OUT
> 
> neumim nakonfigurovat rulesety pro ipfw. Porad mne to nechce filtrovat na tom
> tun device, jde to vubec?  Ten packet v predchozim priklade ma smer na tun
> device out nebo in? nebo tim tun projde dvakrat? Na sitovkach mi to doposud
> filtruje okay.

	Ja nevim, jestli dokazu spravne odpovedet na dotaz - tak misto toho 
zkusim naznacit, jak /dev/tun? funguje.

	Je to vlastne takova emulace sitove karty - jako kazde jine. Ale na tom 
konci, kde by na "normalni" karte byl hardware je tady prave "/dev/tun" 
- takze to, co by normalne system zaslal hardware je na tomto zarizeni 
pripraveno k precteni a ceka se, ze si to nejaka palikace precte. A 
obracene. S /dev/tun se pracuje jako s kterymkoliv jinym zarizenim se 
sekvencnim pristupem - takze z nej lze cist, lze do nej zapisovat 
klasickymi funkcemi pro praci se soubory.

	Co system na tento pseudo interface zasle, rozhoduje, stejne jako u 
skutecnych interface, routovaci tabulka. A se zapsanymi daty nalozi 
stejne jako s cimkoliv co prijde ze sitove karty.

	To znamena, ze presnejsi trasa pakety je:


                     read ze zarizeni
                      |     |
                      |     |- zpracovani aplikaci
                      |          |
   aplikacni uroven   |          |-zapis do zarizeni-
  ..................  |  ..........................  | ............
   jadro systemu      |                              |
                      |                              |
   sitovka in -> dev/tun out                  dev/tun in -> Sitovka OUT

	Jediny "hacek", ktere toto zarizeni ma je, ze data ctena/zapisovana 
odpovidaji datum treti vrstvy - neni z nich tedy jiz poznat, jakeho 
protokolu ta data vlastne jsou. To znamena, ze neni mozne na jednom 
zarizeni provozovat dva protokoly (treba IP + IPX). Na druhou stranu, 
tun zarzeni muze byt v systemu prakticky neomezene mnozstvi, takze neni 
problem kazdy protokol smerovat na vlastni zarizeni, takze pak neni 
pochyb jakeho typu ctena data jsou ...
	
						Dan




More information about the Users-l mailing list