VCN: Difference between revisions

From ortiche
Jump to navigation Jump to search
No edit summary
Line 47: Line 47:
iptables -A INPUT -i vcn -p tcp -j DROP
iptables -A INPUT -i vcn -p tcp -j DROP
</syntaxhighlight>
</syntaxhighlight>
== Gateway ==
<code>
cho 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i vcn -s 172.20.0.2 -j ACCEPT
iptables -A FORWARD -i vcn -s 172.20.0.3 -j ACCEPT
iptables -A FORWARD -i vcn -s 172.20.0.131 -j ACCEPT
iptables -A FORWARD -i vcn  -j DROP
</code>


== DNS ==
== DNS ==

Revision as of 23:24, 8 June 2016


Un reticolo di tubi. Il demone nega la cabala.

Un tunnel serve per:

  • passare inosservati
  • entrare dove si puo solo uscire
  • difendere l'indifendibile.

procurati un token su https://webmail.esiliati.org/toolz/token/generate, se non ce l'hai chiedi ad un amico oppure, se proprio necessario, a vcn [@] esiliati {.} org

installa Tinc

lancia tinc e fagli creare una chiave:

tinc -n vcn -K 2048

se si arrabbia, crea la directory /etc/tinc/vcn

mkdir /etc/tinc/vcn

vai su https://webmail.esiliati.org/toolz/token/check e dagli il token

  • scegli un nome per il tuo nodo
  • apri il file rsa_key.pub, copia la chiave (la stringa contenuta tra -----BEGIN RSA PUBLIC KEY----- e -----END RSA PUBLIC KEY-----) e incollala nel form pubkey
  • premi GO

copia il contenuto delle finestrelle nei file indicati, tutti contenuti nella directory /etc/tinc/vcn

avvia tinc:

tinc -n vcn

Sicurezza

Il tuo nodo e' protetto dall'internet, ma visibile dagli altri nodi VCN

puoi proteggerlo con un muro di fuoco!

su linux:

# fai vedere a tutti la tua ''webapp''
iptables -A INPUT -i vcn -p tcp --dport 80 -j ACCEPT
# fai passare i tuoi amici (172.20.0.31) sulle porte giuste (ssh)
iptables -A INPUT -i vcn -p tcp --dport ssh -s 172.20.0.31 -j ACCEPT
# fai passare le connessioni in uscita
iptables -A INPUT -i vcn -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# blocca gli altri
iptables -A INPUT -i vcn -p tcp -j DROP

Gateway

cho 1 >/proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A FORWARD -i vcn -s 172.20.0.2 -j ACCEPT iptables -A FORWARD -i vcn -s 172.20.0.3 -j ACCEPT iptables -A FORWARD -i vcn -s 172.20.0.131 -j ACCEPT iptables -A FORWARD -i vcn -j DROP

DNS

Dentro VCN c'è un server DNS.

Per usarlo devi dire al tuo server DNS locale di far risolvere i domini .vcn a 172.20.1.35.

Con dnsmasq devi aggiungere questo a /etc/dnsmasq.conf

server=/vcn/172.20.1.35#53

qualsiasi problema, vcn [@] esiliati {.} org