VCN: Difference between revisions
Line 57: | Line 57: | ||
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | ||
iptables -A FORWARD -i vcn -s | iptables -A FORWARD -i vcn -s ''ip.del.client'' -j ACCEPT | ||
iptables -A FORWARD -i vcn -j DROP | iptables -A FORWARD -i vcn -j DROP | ||
</syntaxhighlight> | </syntaxhighlight> | ||
Line 67: | Line 65: | ||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
ORIGINAL_GATEWAY=`ip route show | grep ^default | cut -d ' ' -f 2-5` | ORIGINAL_GATEWAY=`ip route show | grep ^default | cut -d ' ' -f 2-5` | ||
route add default gw | route add default gw ''ip.del.gateway'' | ||
ip route del default $ORIGINAL_GATEWAY | ip route del default $ORIGINAL_GATEWAY | ||
</syntaxhighlight> | </syntaxhighlight> |
Revision as of 23:28, 8 June 2016
Un reticolo di tubi. Il demone nega la cabala.
Un tunnel serve per:
- passare inosservati
- entrare dove si puo solo uscire
- difendere l'indifendibile.
procurati un token su https://webmail.esiliati.org/toolz/token/generate, se non ce l'hai chiedi ad un amico oppure, se proprio necessario, a vcn [@] esiliati {.} org
installa Tinc
lancia tinc e fagli creare una chiave:
tinc -n vcn -K 2048
se si arrabbia, crea la directory /etc/tinc/vcn
mkdir /etc/tinc/vcn
vai su https://webmail.esiliati.org/toolz/token/check e dagli il token
- scegli un nome per il tuo nodo
- apri il file rsa_key.pub, copia la chiave (la stringa contenuta tra -----BEGIN RSA PUBLIC KEY----- e -----END RSA PUBLIC KEY-----) e incollala nel form pubkey
- premi GO
copia il contenuto delle finestrelle nei file indicati, tutti contenuti nella directory /etc/tinc/vcn
avvia tinc:
tinc -n vcn
Sicurezza
Il tuo nodo e' protetto dall'internet, ma visibile dagli altri nodi VCN
puoi proteggerlo con un muro di fuoco!
su linux:
# fai vedere a tutti la tua ''webapp'' iptables -A INPUT -i vcn -p tcp --dport 80 -j ACCEPT # fai passare i tuoi amici (172.20.0.31) sulle porte giuste (ssh) iptables -A INPUT -i vcn -p tcp --dport ssh -s 172.20.0.31 -j ACCEPT # fai passare le connessioni in uscita iptables -A INPUT -i vcn -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT # blocca gli altri iptables -A INPUT -i vcn -p tcp -j DROP
Gateway
sul gateway di uscita:
echo 1 >/proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i vcn -s ''ip.del.client'' -j ACCEPT iptables -A FORWARD -i vcn -j DROP
sul client:
ORIGINAL_GATEWAY=`ip route show | grep ^default | cut -d ' ' -f 2-5` route add default gw ''ip.del.gateway'' ip route del default $ORIGINAL_GATEWAY
DNS
Dentro VCN c'è un server DNS.
Per usarlo devi dire al tuo server DNS locale di far risolvere i domini .vcn a 172.20.1.35.
Con dnsmasq devi aggiungere questo a /etc/dnsmasq.conf
server=/vcn/172.20.1.35#53
qualsiasi problema, vcn [@] esiliati {.} org