توسعه دهنده نرم افزار
کار با فضانام شبکه در لینوکس
توی این پست میخوام در رابطه با استفاده از ip-netns صحبت کنم که یک ابزار هست برای اجرا کردن برنامهها توی یک فضانام شبکه (Network Namespace).
تو لینوکس لایههای مختلف مثل سیستمفایل، پروسهها، شبکه و غیره رو میتونی جدا کنی. اصلا؛ چیزی مثل داکر یا LXD مجموعهای از همین فضانامها رو ایجاد و مدیریت میکنه.
خیلیها توی این دوران قرنطینه مجبورن به VPN شرکت وصل بشن، اجرا کردنش توی یک فضانام شبکه باعث میشه شما کنترل کاملی روی ترافیکش داشته باشید. مثلا این قبیل VPNها دروازه پیشفرض تعیین نمیکنن در نتیجه شما هنوزم با IP خودتون وب گردی میکنید اما؛ این لازمه که DNS پیشفرض رو تغییر بده تا شما بتونید به زونهای داخلی شرکت دسترسی داشته باشید ... حالا راه درستش اینه که وقتی فایل resolv.conf ویرایش میشه؛ بره به آخرش DNS رو اضافه کنه نه اینکه کلا فایل رو بازنویسی کنه. لذا این اشتباه ساده منجر میشه شما یا ترافیک DNS رو بفرستید روی سرورهای شرکت (که حریم خصوصی ندارید) یا اینکه اصلا زونهای دیگه بلاک شده باشن در نتیجه شما نمیتونید وب گردی کنید ...
کار با فضانام شبکه
داخل یک فضانام شبکه (network namespace) میتونید:
- نوعهای مختلف از یک اینترفیس رو داخلش بسازید یا مثلا یه اینترفیس رو از داخل سیستم بردارید و اون رو توی فضانام قرار بدید.
- جدول مسیریابی داخلی رو کاملا از نو تنظیم کنید مثلا دروازه پیشفرض داخل فضانام رو تغییر بدید.
- قوانین iptables وضع کنید.
- از یک DNS Server جدا استفاده کنید.
خب برای شروع؛ یک تب ترمینال باز کنید (هشدار دسترسی روت):
sudo su
/bin/bash --rcfile <(echo "PS1=\"From Earth: \"")
میخوایم یک مریخ نورد بسازیم و از زمین بهش اینترنت بدیم :) پس این شد کنسول ما توی زمین. حالا باید:
- یک مریخ نورد بسازیم (فضانام شبکه به اسم rover).
- یه آنتن زمینی بسازیم و وصلش کنیم به آنتن مریخ نورد (veth یه دیوایس مجازی شبکه هست؛ دیوایسهای دیگه هم هست مثل BRIDGE, MACVLAN, VLAN ...).
- آنتن مریخ نورد رو داخلش نصب کنیم.
- یک آدرس بدیم به آنتن زمینی و روشنش کنیم.
ip netns add rover
ip link add earth-antenna type veth peer name rover-antenna
ip link set rover-antenna netns rover
ip addr add 10.10.1.1/24 dev earth-antenna
ip link set earth-antenna up
حالا یه تب جدید ترمینال باز کنید:
وارد کنسول مریخ نورد بشید (هر دستوری بعد از ip netns exec rover بیاد؛ داخل فضانام شبکه rover اجرا میشه و در اینجا ما بش رو بالا میاریم) بعدش یه آدرس بدیم به آنتن مریخ نورد و روشنش کنیم:
sudo su
ip netns exec rover /bin/bash --rcfile <(echo "PS1=\"Rover Console: \"")
ip netns exec rover ip addr add 10.10.1.2/24 dev rover-antenna
ip netns exec rover ip link set rover-antenna up
ip route add default via 10.10.1.1
حالا بیاید کاری کنیم که مریخ نورد ما به اینترنت دسترسی پیدا کنه؛ برای اینکار باید از سمت زمین این دستورات رو بزنیم (wlan0 رو با اینترفیسی که دروازه پیشفرض شماست عوض کنید):
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -o wlan0 -j MASQUERADE
iptables -A FORWARD -o wlan0 -i earth-antenna -j ACCEPT
iptables -A FORWARD -i wlan0 -o earth-antenna -j ACCEPT
حالا داخل مریخ نورد پینگ بزنیم به گوگل:
Rover Console: ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=46 time=60.8 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=46 time=75.9 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=46 time=76.7 ms
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 60.827/71.140/76.727/7.301 ms
حالا DNS مریخ نورد رو چطوری عوض کنیم؟
From Earth: mkdir -p /etc/netns/rover && echo "nameserver 1.1.1.1" > /etc/netns/rover/resolv.conf
Rover Console: exit
ip netns exec rover /bin/bash --rcfile <(echo "PS1=\"Rover Console: \"")
Rover Console: cat /etc/resolv.conf
مثالهای دیگه
من توی خونه یه اینترنت همراه اول دارم و یه TD-LTE ایرانسل؛ نمیشه همزمان دوتا دروازه پیشفرض داشته باشم (یه جورایی میشهها ولی اون بمونه برای یه پست دیگه). یعنی اگه از ساعت 1 تا 11صبح بخوام چیزی دانلود کنم و همزمان وب گردی کنم سرعتم کم میشه. پس چیکار میشه کرد؟ برنامه aria2 رو توی یک فضانام جدا اجرا میکنم و اینترنت همراه اول رو بهش اختصاص میدم بعدش اینترنت ایرانسل رو دروازه پیشفرض بقیه چیزام قرار میدم. اینطوری:
ip link add macv0 link eth1 type macvlan mode bridge
ip netns add dm
ip link set macv0 netns dm
ip netns exec dm ip addr add 192.168.8.101/24 dev macv0
ip netns exec dm ip route add default via 192.168.8.1
ip netns exec dm sudo -u hadi aria2c -x 8 -j 1 -i list.txt
من اینجا از macvlan استفاده کردم چون ساده و سریعه؛ و میتونم eth1 رو هم از داخل فضانام و هم بیرون از اون کنترل کنم (مثلا شاید من یهویی نیاز داشتم دروازه پیشفرض سیستم رو تغییر بدم به eth1 بدون اینکه دانلودم رو مختل کنم). به جای این کار میتونستم دستور ip link set eth1 netns dm رو بزنم و اینترفیس رو کاملا در اختیار فضانام قرار بدم.
پروژه تورباکس که چند وقت پیش درست کردم؛ از فضانام استفاده میکنه تا کارت شبکه بیسیم رو کاملا در اختیار کانتینر داکر قرار بده (به جای اینکه از net=host استفاده کنم) و یه Anonymizing Middlebox تور درست میکنه.
برنامه از چندتا کانتینر تشکیل شده که همه اونها به busybox وصل میشن. بعدش من process id کانتینر busybox رو در میارم؛ و به فضانامش وصل میشم و بعدش هم کارت شبکه بیسیم رو داخلش قرار میدم. من توی اسکریپت به صورت دستی فایل فضانام رو میسازم و حذف میکنم ولی معادلش میتونه این دستور باشه:
ip netns attach torbox "$(${Docker} inspect -f '{{.State.Pid}}' torbox)"
کانتینرهای داکر وقتی ساخته میشن یه فضانام هم دارن که اسمش برابر با pid اون کانتینر هست حالا این دستور میاد یه برچسب میسازه به اسم torbox بعد وصلش میکنه به pid کانتینر داکر که اسمش torbox هست. «شبیه» وقتی که با دستور add فضانام میسازید. چرا شبیه؟ ببینید دستور attach به فضانامهایی که وجود دارن وصل میشه. به دستور زیر نگاه کنید:
ip netns attach tg "$(pidof telegram-desktop)"
ip netns exec tg ip r
output:
default via 192.168.1.100 dev wlan0
10.10.1.0/24 dev earth-antenna proto kernel scope link src 10.10.1.1
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.101 metric 600
درواقع من میخوام از طریق pid برنامه تلگرام به فضانام اون دست پیدا کنم. اما وقتی که ip r رو داخل فضانام تلگرام اجرا کردم؛ دیدم که داره به جدول مسیریابی پیشفرض «کل سیستم» اشاره میکنه.
چرا اینطوری شد؟ چون تلگرام فضانام اختصاصی نداره؛ ولی هر پروسه «باید» یک فضانام داشته باشه و فضانام پیشفرض شبکه برای همه پروسهها میشه کل سیستم. در نتیجه tg میشه یک برچسب به default
مطلبی دیگر از این انتشارات
امنیت سرورهای لینوکسی (بخش اول)
مطلبی دیگر از این انتشارات
امنیت سرورهای لینوکسی (بخش دوم)
مطلبی دیگر از این انتشارات
امنیت در سرورهای لینوکسی (بخش سوم)