1 Temat przez mbz

  • mbz
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-09-18
  • Posty: 3

Temat: tor + wirtualny ip

Witajcie,

skonfigurowałem sobie tor'a na routerze tak, żeby korzystał z oddzielnego adresu
Adres LAN Routera: 192.168.200.1
TOR  TransListenAddress: 192.168.201.3

Konfiguracja:

ip link add link eth0.2 name eth3 type macvlan
ifconfig eth3 192.168.201.3 netmask 255.255.255.0
iptables -t nat -A PREROUTING -s 192.168.201.0/24  -p tcp --syn -j DNAT --to-destination 192.168.201.3:9040
iptables -t nat -A PREROUTING -s 192.168.201.0/24  -p udp --dport 53 -j DNAT --to-destination 192.168.201.3:9053

Działa to tak, że jak komputer jest w sieci 192.168.200.0/24 i ma bramę 192.168.200.1, to ruch idzie normalnie. Jak jest w sieci 192.168.201.0/24 i ma bramę 192.168.201.3 - to ruch odbywa się przez tor'a.

Problem z którym nie mogę sobie poradzić - jak sprawić żeby zarówno adresy: IP tora i IP routera były w tej samej podsieci? Czyli dla mojego przykladu IP routera 192.168.200.1, VIP dla tora 192.168.200.3. Użytkownicy mają być w jednej sieci 192.168.200.0/24 i mieć jedynie różne bramy (192.168.200.1 lub 192.168.200.3)

2 Odpowiedź przez mbz

  • mbz
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-09-18
  • Posty: 3

Odp: tor + wirtualny ip

Przeanalizowałem temat na spokojnie i mniej więcej widzę rozwiązanie (jak jest tu jakiś dobry sieciowiec, to niech mnie poprawi/wskaże lepszą drogę:)

1. Na warstwie 2 sprawdzam mac-destination przychodzących pakietów. Jeśli mac-destination = mac interfejsu 192.168.200.1, to robię mark pakietu jako np. 1, dla mac interfejsu 192.168.200.2 mark jako 2. Tę część trzeba zrobić za pomocą ebtables, w iptables się nie da. Przy pewnych założeniach pakiet oznaczony w ebtables będzie mógł odczytać mark w iptables.
2. W iptables w łańcuchu PREROUTING przekierowuje pakiety z podsieci 192.168.200.0/24 oznaczone jako mark 2 na ip/port  tor'a

No i wszystko fajnie, tylko.. każdy virtualny interfejs zrobiony za pomocą macvlan - z zewnątrz widoczny jest jako ten sam mac:
? (192.168.200.1) at 11:22:33:44:55:66 [ether] on eth0
? (192.168.200.3) at 11:22:33:44:55:66 [ether] on eth0

czy tak ma być? czy VIP nie powinien być widziany z zewnątrz jako osobna karta z własnym adresem mac?