बाहरी इंटरफ़ेस के लिए स्थानीय IP ट्रैफ़िक को बाध्य करें

मेरे पास एक मशीन है जिसमें कई इंटरफेस हैं जिन्हें मैं कॉन्फ़िगर कर सकता हूं जैसा कि मैं चाहता हूं, उदाहरण के लिए:

• eth1: 192.168.1.1
• eth2: 192.168.2.2

मैं इनमें से किसी एक स्थानीय पते पर भेजे गए सभी ट्रैफ़िक को अन्य इंटरफ़ेस के माध्यम से अग्रेषित करना चाहूंगा। उदाहरण के लिए, 192.168.1.1 पर एक iperf, ftp, http सर्वर के सभी अनुरोधों को केवल आंतरिक रूप से रूट नहीं किया जाना चाहिए, लेकिन eth2 के माध्यम से अग्रेषित किया जाएगा (और बाहरी नेटवर्क eth1 को पैकेट को फिर से रूट करने का ध्यान रखेगा)।

मैंने कोशिश की और iptables, ip मार्ग, आदि जैसे कई कमांड्स को देखा ... लेकिन कुछ भी काम नहीं किया।

मेरे साथ किया जा सकता निकटतम व्यवहार:

ip route change to 192.168.1.1/24 dev eth2

जो सभी 192.168.1.x को eth2 पर भेजते हैं, सिवाय 192.168.1.1 के जो अभी भी आंतरिक रूप से रूट किया गया है। हो सकता है कि तब मैं नैट 1 पर नकली 192.168.1.2 को निर्देशित किए गए सभी ट्रैफ़िक के NAT अग्रेषित कर सकता था, आंतरिक रूप से 192.168.1.1 पर पुन: प्रेषित किया गया? मैं वास्तव में iptables के साथ संघर्ष कर रहा हूं, लेकिन यह मेरे लिए बहुत कठिन है।

इस सेटअप का लक्ष्य दो पीसी का उपयोग किए बिना इंटरफ़ेस ड्राइवर परीक्षण करना है।

मैं लिनक्स का उपयोग कर रहा हूं, लेकिन अगर आप जानते हैं कि विंडोज के साथ कैसे करना है, तो मैं इसे खरीदूंगा!

संपादित करें:

बाहरी नेटवर्क eth1 और eth2 के बीच एक क्रॉसओवर केबल है। मान लीजिए कि मेरे पास मेरी मशीन पर http सर्वर है। अब मैं इस सर्वर को उसी मशीन से एक्सेस करना चाहता हूं, लेकिन मैं इस eth1 / eth2 केबल से जाने के लिए TCP / IP ट्रैफ़िक को बाध्य करना चाहता हूं। मुझे इसके लिए अपने इंटरफेस को कैसे कॉन्फ़िगर करना चाहिए?

मैंने कैलाडोना के उत्तर पर विस्तार किया क्योंकि मैं प्रतिक्रिया पैकेट नहीं देख सकता था। इस उदाहरण के लिए:

1. मेरे स्थानीय पीसी पर मेरे पास अलग-अलग सबनेट पर एनआईसी, 192.168.1 / 24 , 192.168.2 / 24 है
   
2. एक बाहरी राउटर / पीसी है जिसमें दोनों सबनेट तक पहुंच है।
3. मैं स्थानीय पीसी पर एनआईसी पर द्वि-दिशात्मक यातायात भेजना चाहता हूं।
4. कॉन्फ़िगरेशन को प्रत्येक सबनेट के लिए दो अप्रयुक्त आईपी पते की आवश्यकता होती है।

स्थानीय पीसी iptable मार्ग SNAT और DNAT आउटगोइंग ट्रैफ़िक को 'नकली' IP पर सेट किया गया है।

iptables -t nat -A POSTROUTING -d 192.168.1.100 -s 192.168.2.0/24 -j SNAT --to-source      192.168.2.100
iptables -t nat -A PREROUTING  -d 192.168.1.100 -i eth0           -j DNAT --to-destination 192.168.1.1
iptables -t nat -A POSTROUTING -d 192.168.2.100 -s 192.168.1.0/24 -j SNAT --to-source      192.168.1.100
iptables -t nat -A PREROUTING  -d 192.168.2.100 -i eth1           -j DNAT --to-destination 192.168.2.1

नियम निम्नलिखित हैं:

1. आउटगोइंग पैकेट पर 192.168.2.1 स्रोत को 192.168.2.100 पर रिवाइज करें
2. आने वाले पैकेटों पर 192.168.1.100 से 192.168.1.1 पर गंतव्य स्थान पर जाएं
3. आउटगोइंग पैकेट्स पर 192.168.1.1 सोर्स को 192.168.1.1 पर रिवाइज करें
4. आने वाले पैकेटों पर 192.168.2.100 से 192.168.2.1 पर गंतव्य स्थान पर जाएं

संक्षेप में, स्थानीय प्रणाली अब 192.168.1.100 और 192.168.2.100 पते के साथ एक 'वर्चुअल' मशीन से बात कर सकती है।

आगे आपको अपने स्थानीय पीसी को अपने नकली आईपी तक पहुंचने के लिए बाहरी राउटर का उपयोग करने के लिए मजबूर करना होगा। आप राउटर के माध्यम से आईपी के माध्यम से एक सीधा मार्ग बनाकर ऐसा करते हैं। आप यह सुनिश्चित करना चाहते हैं कि आप गंतव्य सबनेट के विपरीत पैकेट को मजबूर करें।

ip route 192.168.1.100 via $ROUTER_2_SUBNET_IP 
ip route 192.168.2.100 via $ROUTER_1_SUBNET_IP

अंत में यह सब काम करने के लिए, बाहरी राउटर को यह जानना होगा कि आपके स्थानीय पीसी पर फेक आईपी तक कैसे पहुंचा जाए। आप अपने सिस्टम के लिए प्रॉक्सी ARP चालू करके थिन कर सकते हैं।

echo 1 | sudo tee /proc/sys/net/ipv4/conf/all/proxy_arp
echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward

इस सेटअप के साथ, अब आप अपने स्थानीय पीसी पर नकली आईपी को एक वास्तविक प्रणाली के रूप में मान सकते हैं। .1 सबनेट पर डेटा भेजना पैकेट को .2 इंटरफ़ेस से बाहर कर देगा। .2 सबनेट पर डेटा भेजना पैकेट को .1 इंटरफ़ेस से बाहर कर देगा।

ping 192.168.1.100
ping 192.168.2.100

मैंने "लूपबैक" मोड में एक नए दोहरे पोर्ट 10Gbps कार्ड पर थ्रूपुट का परीक्षण करने के लिए लिनक्स पर निम्नलिखित का सफलतापूर्वक उपयोग किया, अर्थात एक पोर्ट दूसरे में सीधे प्लग किया। यह सब कुछ सिर्फ वूडू के लिए है बस पैकेट को तार से बाहर करने के लिए, लेकिन यदि आप नहीं करते हैं, तो लिनक्स कर्नेल के माध्यम से ट्रैफ़िक को शॉर्ट-सर्किट करेगा (इसलिए ओपी का सवाल)। केसी के उत्तर के ऊपर, मुझे यकीन नहीं है कि वास्तव में बाहरी राउटर होना आवश्यक है या नहीं, लेकिन निम्नलिखित पूरी तरह से आत्म-निहित है। दो इंटरफेस eth2 और eth3 हैं।

इंटरफेस को आईपी दें, और उन्हें अलग नेटवर्क पर रखें:

ifconfig eth2 10.50.0.1/24
ifconfig eth3 10.50.1.1/24

आगे हम एक दोहरा NAT परिदृश्य स्थापित करेंगे: दूसरे तक पहुँचने के लिए उपयोग किए जाने वाले दो नए नकली नेटवर्क। रास्ते में, अपने नकली नेटवर्क के लिए NAT स्रोत। रास्ते में, गंतव्य को ठीक करें। और अन्य नेटवर्क के लिए इसके विपरीत:

# nat source IP 10.50.0.1 -> 10.60.0.1 when going to 10.60.1.1
iptables -t nat -A POSTROUTING -s 10.50.0.1 -d 10.60.1.1 -j SNAT --to-source 10.60.0.1

# nat inbound 10.60.0.1 -> 10.50.0.1
iptables -t nat -A PREROUTING -d 10.60.0.1 -j DNAT --to-destination 10.50.0.1

# nat source IP 10.50.1.1 -> 10.60.1.1 when going to 10.60.0.1
iptables -t nat -A POSTROUTING -s 10.50.1.1 -d 10.60.0.1 -j SNAT --to-source 10.60.1.1

# nat inbound 10.60.1.1 -> 10.50.1.1
iptables -t nat -A PREROUTING -d 10.60.1.1 -j DNAT --to-destination 10.50.1.1

अब सिस्टम को बताएं कि प्रत्येक नकली नेटवर्क को कैसे प्राप्त किया जाए, और arp प्रविष्टियों को पूर्वनिर्मित करें (अपने मैक पतों को स्थानापन्न करना सुनिश्चित करें, मेरा उपयोग न करें):

ip route add 10.60.1.1 dev eth2
arp -i eth2 -s 10.60.1.1 00:1B:21:C1:F6:0F # eth3's mac address

ip route add 10.60.0.1 dev eth3 
arp -i eth3 -s 10.60.0.1 00:1B:21:C1:F6:0E # eth2's mac address

यह वास्तव में वायर पर पैकेट डालने के लिए लिनक्स को काफी बेवकूफ बनाता है। उदाहरण के लिए:

ping 10.60.1.1

Eth2 से बाहर निकलता है, स्रोत IP 10.50.0.1, NAT60 से 10.60.0.1 तक हो जाता है, और जैसे ही यह eth3 में आता है, तो गंतव्य 10.60.1.1, NATted से 10.50.1.1 हो जाता है। और जवाब एक समान यात्रा लेता है।

अब थ्रूपुट का परीक्षण करने के लिए iperf का उपयोग करें। सही IP से बाइंड करें, और निश्चित करें कि आप किस IP से संपर्क कर रहे हैं (दूसरे छोर का फर्जी पता):

# server
./iperf -B 10.50.1.1 -s

# client: your destination is the other end's fake address
./iperf -B 10.50.0.1 -c 10.60.1.1 -t 60 -i 10

सुनिश्चित करें कि ट्रैफ़िक वास्तव में तार से बाहर जा रहा है:

tcpdump -nn -i eth2 -c 500

आप यह भी देख / खरीद / बाधित कर सकते हैं कि कार्ड का उपयोग किया जा रहा है

while true ; do egrep 'eth2|eth3' /proc/interrupts ; sleep 1 ; done

किसी भी तरह, मैंने इस पोस्ट को खोजा कि यह कैसे करना है, क्यू एंड ए दोस्तों के लिए धन्यवाद, और आशा है कि यह किसी और को भविष्य में इस पोस्ट को खोजने में मदद करता है।

हमेशा की तरह - मुझे थोड़ी देर हो गई है - लेकिन आजकल लोग इंटरफेस को अलग करने और किसी भी स्थानीय अग्रेषण को रोकने के लिए (और iptables के साथ फ़िडिंग :)) का उपयोग कर सकते हैं।

नाम स्थान बनाएं (सभी आवश्यक अनुमतियों के साथ, जैसे रूट के रूप में):

ip netns add ns_server
ip netns add ns_client

ध्यान दें कि इंटरफेस स्टेटस / कॉन्फिगरेशन को अब दिए गए नेमस्पेस के संदर्भ में एक्सेस किया जाना चाहिए - इसलिए वे दिखाई नहीं देंगे यदि आप एक नग्न आईपी ​​लिंक चलाते हैं क्योंकि यह डिफॉल्ट नेमस्पेस के संदर्भ में चलाया जाता है। एक नाम स्थान के भीतर एक कमांड रनिंग का उपयोग किया जा सकता है

ip netns exec <namespace-name> <command>

उपसर्ग के रूप में।

अब इंटरफ़ेसों को नाम स्थान निर्दिष्ट करें, कॉन्फ़िगर लागू करें और इंटरफ़ेस सेट करें:

ip link set eth1 netns ns_server
ip netns exec ns_server ip addr add dev eth1 192.168.1.1/24
ip netns exec ns_server ip link set dev eth1 up
ip link set eth2 netns ns_client
ip netns exec ns_client ip addr add dev eth2 192.168.1.2/24
ip netns exec ns_client ip link set dev eth2 up

अब आप नेमस्पेस के भीतर अनुप्रयोगों को निष्पादित कर सकते हैं - iperf सर्वर रन के लिए

ip netns exec ns_server iperf -s -B 192.168.1.1

और ग्राहक:

ip netns exec ns_client iperf -c 192.168.1.1 -B 192.168.1.2

ट्रैफ़िक अब भौतिक इंटरफ़ेस के माध्यम से पूरे नेटवर्कस्टैक, इंटरफ़ेस, रूटिंग के माध्यम से भेजा जाएगा ... नामस्थानों द्वारा अलग-थलग है इसलिए कर्नेल स्थानीय (उपलब्ध) इंटरफेस के साथ ट्रैफ़िक में उपयोग किए गए पतों का मिलान करने में सक्षम नहीं है।

यदि आप अपने प्रयोगों से किए गए हैं तो बस नामस्थान हटा दें:

ip netns del <namespace-name>

इंटरफ़ेस डिफ़ॉल्ट नाम स्थान पर पुन: असाइन किया जाएगा और नामस्थान के भीतर किए गए सभी कॉन्फ़िगरेशन गायब हो जाते हैं (उदाहरण के लिए असाइन किए गए IP पते को हटाने की कोई आवश्यकता नहीं है)।

ठीक है, मैं आखिरकार अपने विन्यास को स्थापित करने में सफल रहा।

एक और नकली पते का उपयोग करने के लिए, इस नकली पते के मार्ग को इंटरफ़ेस 2 के लिए मजबूर करना है, फिर नकली पते को NAT / iptables के साथ वास्तविक पते 2 के साथ अनुवाद करना है।

मेरा सेट अप वास्तव में IF1 (इंटरफ़ेस 1) और IF2 के बीच एक राउटर से बना हो सकता है

मेरे सेट अप में, FAKE_ADDR और IF1_ADDR एक ही सबनेट पर हैं।

ifconfig $IF1 $IF1_ADDR netmask 255.255.255.0
ifconfig $IF2 $IF2_ADDR netmask 255.255.255.0

iptables -t nat -A PREROUTING -d $FAKE_ADDR -i $IF2 -j DNAT --to-destination $IF2_ADDR
iptables -t nat -A POSTROUTING -s $IF2_ADDR -d $IF1_ADDR/24 -j SNAT --to-source $FAKE_ADDR

route add $FAKE_ADDR gw $ROUTER_ADDR

और राउटर पर:

route add $FAKE_ADDR gw $IF2_ADDR

अगर मैं कुछ FAKE_ADDR को भेजता हूं, तो pkt को IF1 के माध्यम से राउटर में भेजा जाता है, IF2 को फिर से अग्रेषित किया जाता है, फिर FAKE_IP को IF2_ADDR से बदल दिया जाता है। पैकेट को सर्वर द्वारा संसाधित किया जाता है, परिणाम IF1_ADDR, IF2_ADDR से वापस भेज दिया जाता है जिसे FAKE_ADDR द्वारा प्रतिस्थापित किया जाता है।

हो सकता है कि केवल एक क्रॉसओवर केबल के साथ एक सरल कॉन्फ़िगरेशन का उपयोग करना संभव हो, लेकिन जैसा कि मैंने कोशिश नहीं की थी मैं अपना काम करने वाला समाधान देना पसंद करता हूं।

थॉमस तन्हुसेर द्वारा ऊपर दिया गया जवाब हाजिर था!

मेरे पास एक समान स्थिति थी: दो एनेट इंटरफेस के साथ एक एकल मशीन। मेरी योजना एक इंटरफ़ेस को सर्वर (रिसीवर) के रूप में और दूसरी को क्लाइंट (प्रेषक) के रूप में उपयोग करने की थी। प्रत्येक इंटरफ़ेस राउटर से जुड़ा होगा और iperf राउटर के माध्यम से ट्रैफिक को ड्राइव करेगा ताकि थ्रूपुट, पीपीएस, देरी, आदि को मापा जा सके।

दुर्भाग्य से, iptables दृष्टिकोण गैर-सहज और मुद्दों से भरा था। कुछ निराशाजनक घंटों के बाद, मैंने हमले की इस योजना को छोड़ दिया। थॉमस के सुझाव से प्रेरित होकर, मैंने लिनक्स आईपी नेमस्पेस पर थोड़ा सा होमवर्क किया और इस समाधान की सादगी और लालित्य की सराहना करना शुरू किया।

नीचे उन सटीक आदेशों की एक सूची दी गई है जो मैंने इस क्षमता में सेवा करने के लिए अपने फेडोरा FC26 को कॉन्फ़िगर करने के लिए उपयोग किया था। दो इंटरफेस enp1s0 और enp3s0 हैं। राउटर में 192.168.2.112 और 172.16.16.2 पते के साथ दो इंटरफेस हैं। प्रत्येक FC26 ENET कनेक्टर संबंधित राउटर इंटरफ़ेस से सीधे जुड़ा हुआ है।

# How to configure the IP Namespaces
ip netns add iperf-server
ip netns add iperf-client
ip link set enp1s0 netns iperf-server
ip link set enp3s0 netns iperf-client
ip netns exec iperf-server ip addr add dev enp1s0 192.168.2.139/20
ip netns exec iperf-client ip addr add dev enp3s0 172.16.16.2/24
ip netns exec iperf-client ip link set dev enp3s0 up
ip netns exec iperf-server ip link set dev enp1s0 up
ip netns exec iperf-server route add default gw 192.168.2.112
ip netns exec iperf-client route add default gw 172.16.16.1

# Test the interfaces and network using ping
ip netns exec iperf-client ping -c1 172.16.16.1
ip netns exec iperf-server ping -c1 192.168.2.112
ip netns exec iperf-server ping -c1 172.16.16.2
ip netns exec iperf-client ping -c1 192.168.2.139

# Start Iperf Server for UDP test
ip netns exec iperf-server iperf -u -s
# Run Client against Iperf server for UDP test
ip netns exec iperf-client iperf -u -c 192.168.2.139

ऐसा लगता है कि आप अपने लिनक्स बॉक्स को राउटर / ब्रिज / गेटवे / फायरवॉल टाइप बॉक्स में बदलना चाहते हैं। निम्नलिखित संसाधन हो सकते हैं कि आप क्या देख रहे हैं:

लिनक्स राउटर प्रोजेक्ट

राउटर या फ़ायरवॉल वितरण की सूची

लिनक्स लाइवसीडी राउटर

लिनक्स जर्नल - लिनक्स राउटर

अधिक जानकारी के आधार पर अपडेट करें:

मुझे नहीं लगता कि आप जो चाहते हैं वह करने में सक्षम होने जा रहे हैं। OS हमेशा अपनी आंतरिक रूटिंग तालिका को देखने जा रहा है और स्थानीय स्तर पर दोनों IP पते को 'देख' सकता है। यह तब OS के भीतर ट्रैफ़िक को रूट करेगा और इसे कभी भी तार पर नहीं रखेगा। आपको दूसरी मशीन या दो वर्चुअल मशीनों (चेक एक्सएन की आवश्यकता होगी) की आवश्यकता होगी ।

यहां से गुजरने के लिए बहुत सारी चीजें, इसलिए मैं अपनी सटीकता की पूरी तरह से गारंटी नहीं दे सकता, लेकिन मूल प्रश्न यह है कि "स्वयं को भेजें" तकनीक के रूप में जाना जाता है । लिंक की गई खोज से पता चलता है कि मुझे लगता है कि शीर्ष लिंक + चर्चा और पैच के रूप में विभिन्न मेलिंग सूचियों, एस्प के साथ सबसे अच्छा बनाए रखा कर्नेल पैच है । LKML।

मुझे लगता है कि iproute2 के "ip netns" के साथ नेटवर्क नेमस्पेस को भी देखना चाहिए । यह कुछ अतिरिक्त इंटरफ़ेस और रूटिंग मैजिक भी लेता है, इसलिए हो सकता है कि अन्य उत्तरों में बड़े पैमाने पर iptables घेरा की तुलना में कम जटिल न हो।

टिप्पणियाँ निश्चित रूप से स्वागत करती हैं अगर किसी को आपके साथ कुछ उपयोगी मिला - कैसे, क्या, आपके कार्यान्वयन के बारे में जहां।

इस लेख की जाँच करें। यहां NAT स्टेप का उपयोग करके एक वर्चुअलबॉक्स vm तक इंटरनेट पहुंच को सक्षम करने के लिए विस्तृत चरणों का उल्लेख किया गया है।

http://jackal777.wordpress.com/2012/02/13/virtualbox-host-only-networking-nat-for-internet-access/

यहाँ है कि कैसे मैं इसे IPV6 के लिए काम कर रहा हूँ

स्थिर ips को सौंपा

/sbin/ifconfig eth1 inet6 add 2001:db8::1/127 
/sbin/ifconfig eth3 inet6 add 2001:db8::2/127 

"FAKE" पतों के लिए केवल होस्ट रूट निर्धारित करें

ip -6 route add 2001:db8::2/128 dev eth1 metric 1
ip -6 route add 2001:db8::1/128 dev eth3 metric 1

नेबर टेबल को पसंद किया

ip -6 neighbor add 2001:db8::1 lladdr 90:e2:ba:0d:75:e8 dev eth3 # eth1's mac address
ip -6 neighbor add 2001:db8::2 lladdr 90:e2:ba:0d:75:e9 dev eth1 # eth3's mac address

ip6tables प्रविष्टियों को जोड़ा

ip6tables -t nat -A POSTROUTING -s 2001:db8::1 -d 2013::2 -j SNAT --to-source 2001:db8::1
ip6tables -t nat -A PREROUTING -d 2001:db8::1 -j DNAT --to-destination 2001:db8::1
ip6tables -t nat -A POSTROUTING -s 2001:db8::2 -d 2013::1 -j SNAT --to-source 2001:db8::2
ip6tables -t nat -A PREROUTING -d 2001:db8::2 -j DNAT --to-destination 2001:db8::2