2 853
contributi
Openvpn: differenze tra le versioni
→Scenario misto
Wtf (discussione | contributi) |
Wtf (discussione | contributi) |
||
| Riga 344: | Riga 344: | ||
4 - Aggiungere delle regole al firewall per assicurarsi di non poter mischiare il traffico tra l'interfaccia internet, es. <code>ppp0</code>, e quella della VPN, es. <code>tun0</code>. Per maggiori informazioni si veda ad esempio la [http://guide.debianizzati.org/index.php/Debian_e_iptables#Uso_di_una_VPN_commerciale sezione apposita della guida di iptables]. | 4 - Aggiungere delle regole al firewall per assicurarsi di non poter mischiare il traffico tra l'interfaccia internet, es. <code>ppp0</code>, e quella della VPN, es. <code>tun0</code>. Per maggiori informazioni si veda ad esempio la [http://guide.debianizzati.org/index.php/Debian_e_iptables#Uso_di_una_VPN_commerciale sezione apposita della guida di iptables]. | ||
Arrivati a questo punto il servizio prescelto dovrebbe essere normalmente raggiungibile attraverso la nostra interfaccia internet, tuttavia è importante sottolineare quanto segue: | |||
# Le rotte e le regole create non sono permanenti, ovvero andranno perse al momento di un eventuale riavvio, quindi in tale caso l'utente dovrà nuovamente ripetere la procedura qui descritta. Il problema dovrebbe essere ovviabile dichiaranto opportunamente i precedenti comandi nel file <code>/etc/network/interfaces</code>. | |||
<pre> | <pre> | ||
auto dsl-provider | |||
iface dsl-provider inet ppp | |||
pre-up /bin/ip link set eth1 up | |||
provider dsl-provider | |||
post-up /bin/ip route flush table 1 | |||
post-up /bin/ip route add default dev ppp0 table 1 | |||
post-up /bin/ip rule add from $(ip -f inet addr show ppp0 | grep -Po 'inet \K[\d.]+') table 1 | |||
auto eth0 | |||
iface eth0 inet static | |||
address 192.168.1.172 | |||
netmask 255.255.255.0 | |||
network 192.168.1.0 | |||
broadcast 192.168.0.255 | |||
post-up /bin/ip route add 192.168.1.0/24 dev eth0 src 192.168.1.172 table 1 | |||
</pre> | </pre> | ||
# Se non si dispone di un IP pubblico statico, ma solo dinamico, sarà necessario eliminare e dichiarare nuovamente il comando descritto al punto 3 ogni volta che detto IP pubblico cambia. A tale fastidio si può ovviare sostituendo alla regola del punto 3 una dichiarazione basata sull'uso dell'opzione <code>fwmark</code> e del target <code>mark</code> di IPtables, oppure creando uno script che ad intervalli regolari verifica il proprio IP pubblico attuale ed eventualmente aggiorna rotte e regole come necessario. A puro titolo esemplificativo si mostra lo script usato da chi scrive (e quindi ritagliato sulla propria specifica configurazione macchina): | # Se non si dispone di un IP pubblico statico, ma solo dinamico, sarà necessario eliminare e dichiarare nuovamente il comando descritto al punto 3 ogni volta che detto IP pubblico cambia. A tale fastidio si può ovviare sostituendo alla regola del punto 3 una dichiarazione basata sull'uso dell'opzione <code>fwmark</code> e del target <code>mark</code> di IPtables, oppure creando uno script che ad intervalli regolari verifica il proprio IP pubblico attuale ed eventualmente aggiorna rotte e regole come necessario. A puro titolo esemplificativo si mostra lo script usato da chi scrive (e quindi ritagliato sulla propria specifica configurazione macchina): | ||
<pre> | <pre> | ||