filtrovani tun device - eternity router
Dan Lukes
dan at obluda.cz
Mon Mar 22 21:17:45 CET 2004
Radim Kolar wrote:
> potrebuju vedet jak jezdi packety v eternity routeru (pouziva tun device),
> jakakoliv jina VPN (napr. openvpn.sf.net) by to mela mit shodne.
>
> Trasa packetu: sitovka in -> VPN tun device -> Sitovka OUT
>
> neumim nakonfigurovat rulesety pro ipfw. Porad mne to nechce filtrovat na tom
> tun device, jde to vubec? Ten packet v predchozim priklade ma smer na tun
> device out nebo in? nebo tim tun projde dvakrat? Na sitovkach mi to doposud
> filtruje okay.
Ja nevim, jestli dokazu spravne odpovedet na dotaz - tak misto toho
zkusim naznacit, jak /dev/tun? funguje.
Je to vlastne takova emulace sitove karty - jako kazde jine. Ale na tom
konci, kde by na "normalni" karte byl hardware je tady prave "/dev/tun"
- takze to, co by normalne system zaslal hardware je na tomto zarizeni
pripraveno k precteni a ceka se, ze si to nejaka palikace precte. A
obracene. S /dev/tun se pracuje jako s kterymkoliv jinym zarizenim se
sekvencnim pristupem - takze z nej lze cist, lze do nej zapisovat
klasickymi funkcemi pro praci se soubory.
Co system na tento pseudo interface zasle, rozhoduje, stejne jako u
skutecnych interface, routovaci tabulka. A se zapsanymi daty nalozi
stejne jako s cimkoliv co prijde ze sitove karty.
To znamena, ze presnejsi trasa pakety je:
read ze zarizeni
| |
| |- zpracovani aplikaci
| |
aplikacni uroven | |-zapis do zarizeni-
.................. | .......................... | ............
jadro systemu | |
| |
sitovka in -> dev/tun out dev/tun in -> Sitovka OUT
Jediny "hacek", ktere toto zarizeni ma je, ze data ctena/zapisovana
odpovidaji datum treti vrstvy - neni z nich tedy jiz poznat, jakeho
protokolu ta data vlastne jsou. To znamena, ze neni mozne na jednom
zarizeni provozovat dva protokoly (treba IP + IPX). Na druhou stranu,
tun zarzeni muze byt v systemu prakticky neomezene mnozstvi, takze neni
problem kazdy protokol smerovat na vlastni zarizeni, takze pak neni
pochyb jakeho typu ctena data jsou ...
Dan
More information about the Users-l
mailing list