Czy możliwe jest kierowanie ruchu używanego przez proces przez określony interfejs?
Na przykład ruch sieciowy przez aplikację do pobierania powinien zawsze korzystać z interfejsu, wlan0podczas gdy wszystkie inne aplikacje na komputerze powinny korzystać eth0.
Czy w Linuksie można mieć tego rodzaju reguły?
Odpowiedzi:
Można to zrobić za pomocą Linux Namespaces.
Oto artykuł, który wyjaśnia, jak to zrobić. Zasadniczo tworzysz przestrzeń nazw sieci z inną domyślną trasą i uruchamiasz tam procesy, które jej potrzebują. Połączysz nowo utworzoną przestrzeń nazw sieci z fizycznym adapterem za pomocą mostka (ale oczywiście możliwe są również inne rozwiązania).
Aktualizacja: z jądra 3.14 korzystanie z grup kontrolnych jest jeszcze łatwiejsze, jak opisano w tym artykule . Musisz:
1) zdefiniuj grupę kontrolną net_cls, aby opisać pakiety z danego procesu za pomocą classid (lub grupy procesów, zauważ, że nie musi istnieć żadna relacja rodzic-dziecko)
2) użyj modułu cgroup iptables (dodanego w Linuksie 3.14), aby zaznaczyć pakiety
3) użyj routingu zasad (reguła ip dodaj fwmark ....), aby utworzyć nową tabelę routingu dla zaznaczonych pakietów
Zaletą jest to, że nie musimy robić pomostów, a wszystko jest znacznie bardziej dynamiczne dzięki grupom.
Tak bardzo się z tym zmagałem, więc oto ZUPEŁNE rozwiązanie. Jest testowany na Ubuntu 15 i 16. Możesz go szczególnie używać z OpenVPN do kierowania niektórymi aplikacjami poza interfejs tunelu VPN.
Zrobiłem novpn.sh skrypt do automatyzacji zależności zainstalować i uruchomić. Testowane na Ubuntu.
Najpierw uruchom VPN.
wget https://gist.githubusercontent.com/kriswebdev/a8d291936fe4299fb17d3744497b1170/raw/cf8b37fbe6c3f50a0be825eb77cafa3e0134946f/novpn.sh
# If you don't use eth0, edit the script setting.
sudo chmod +x novpn.sh
./novpn.sh traceroute www.google.com
./novpn.sh --help
Najpierw zainstaluj obsługę i narzędzia cgroup:
sudo apt-get install cgroup-lite cgmanager cgroup-tools
Uruchom ponownie (może nie być konieczne).
Potrzebujesz iptables 1.6 .0+. Pobierz źródło wydania iptables 1.6.0 , rozpakuj je, a następnie uruchom to ( --disable-nftablesflaga pozwoli uniknąć błędów) ze źródła iptables:
sudo apt-get install dh-autoreconf bison flex
./configure --prefix=/usr \
--sbindir=/sbin \
--disable-nftables \
--enable-libipq \
--with-xtlibdir=/lib/xtables
make
sudo make install
iptables --version
Teraz prawdziwa konfiguracja. Zdefiniuj grupę kontrolną o nazwie novpn. Procesy w tej grupie będą miały klasę 0x00110011(11:11).
sudo su
mkdir /sys/fs/cgroup/net_cls/novpn
cd /sys/fs/cgroup/net_cls/novpn
echo 0x00110011 > net_cls.classid
Załóżmy, że interfejs, którego chcesz używać dla konkretnej aplikacji, ma eth0adres IP bramy 10.0.0.1. Zastąp je tym, czego naprawdę chcesz (uzyskaj informacje ip route). Uruchom nadal jako root:
# Add mark 11 on packets of classid 0x00110011
iptables -t mangle -A OUTPUT -m cgroup --cgroup 0x00110011 -j MARK --set-mark 11
# Force the packets to exit through eth0 with NAT
iptables -t nat -A POSTROUTING -m cgroup --cgroup 0x00110011 -o eth0 -j MASQUERADE
# Define a new "novpn" routing table
# DO THIS JUST ONCE !
echo 11 novpn >> /etc/iproute2/rt_tables
# Packets with mark 11 will use novpn
ip rule add fwmark 11 table novpn
# Novpn has a default gateway to the interface you want to use
ip route add default via 10.0.0.1 table novpn
# Unset reverse path filtering for all interfaces, or at least for "eth0" and "all"
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 > $i; done
Na koniec uruchom aplikację na określonym interfejsie:
exit
sudo cgcreate -t $USER:$USER -a $USER:$USER -g net_cls:novpn
cgexec -g net_cls:novpn traceroute www.google.com
# Close all Firefox windows first
cgexec -g net_cls:novpn firefox
Lub jeśli chcesz przenieść już działający proces do grupy, cóż ... nie możesz! Wydaje się, że wynika to z funkcji NAT (maskarady): iptables -nvL -t natnie pasuje, gdy cgroup jest przełączana, ale iptables -nvL -t manglepasuje.
# Get PID of the process (we'll then suppose it's 1234)
pidof firefox
# Add to cgroup - THIS DOESN'T WORK! Silently fails to produce the final result.
sudo echo 1234 > /sys/fs/cgroup/net_cls/novpn/tasks
# Remove - but this works...
sudo echo 1234 > /sys/fs/cgroup/net_cls
Kredyty: Żadna odpowiedź nie działała zgodnie z oczekiwaniami, ale ich kombinacja działała: artykuł chripell odpowiedz evolware Na routing procesu weź 2: używając grup dyskusyjnych, iptables i routingu polityki , Jak wykonać konkretny proces, NIE przechodząc przez połączenie OpenVPN? , Przełącznik Kill dla OpenVPN na podstawie iptables
apache2bezpośrednio z terminala. To dlatego, że apache2zwykle jest uruchamiany jako usługa, z systemctl start apache2. Jednak to nie zadziała cgexec. apache2Wywoływany program musi być rodzicem żądanego procesu ( ), aby grupa c_grupy net_cls mogła się rozprzestrzeniać. Musisz więc znaleźć skrypt uruchamiania. W tym przypadku tak jest sudo cgexec -g net_cls:novpn /usr/sbin/apache2ctl start. Sprawdź za pomocą ./novpn.sh --list.
eth0na coś podobnego enp7s0. Uzyskaj informacje z ifconfigpolecenia.
Kilka osób napisało podkładki, które używają funkcji LD_PRELOAD w Linuksie, aby to osiągnąć:
Łącząc doskonałe odpowiedzi mariusmatutiae i KrisWebDev stworzyłem znacznie zmodyfikowaną wersję doskonałego novpn.shskryptu KrisWebDev . Podczas gdy skrypt KrisWebDev jest zaprojektowany do drapania bardziej specyficznego swędzenia (uruchamianie i przenoszenie procesów wewnątrz / na zewnątrz VPN), moja wersja pozwala na uruchomienie dowolnego polecenia w określonym przez ciebie środowisku sieciowym. Możesz określić interfejs, z którym chcesz się połączyć, domyślną trasę, określić własne reguły iptables, trasy statyczne, określić „test”, aby potwierdzić, że wszystko działa tak, jak chcesz przed uruchomieniem polecenia ... itd.). Pozwala na użycie wielu plików konfiguracyjnych, dzięki czemu można zdefiniować dowolną liczbę określonych środowisk sieciowych, w których można uruchamiać polecenia / procesy wewnątrz.
Opublikowałem to jako sedno tutaj: https://gist.github.com/level323/54a921216f0baaa163127d960bfebbf0
Może nawet później wyczyścić tabele cgroup / iptables / routing!
Witamy mile widziane.
PS - Jest przeznaczony dla Debian 8 (Jessie)
Nie na aplikację, nie. Możesz to zrobić dla każdego portu lub adresu IP itp., Lub sama aplikacja może powiązać (i użyć) określoną kartę sieciową.
Nie można jednak ustawić reguły, aby to zrobić.
cgexec -g net_cls:novpn apache2i podałem całą listę zmiennych niezdefiniowanych błędów!