Para que serve a interface de rede tun?

17

Percebi ao executar o ifconfig que existe uma interface de rede chamada tun0 e possui um endereço ipv4. Um pouco de pesquisa mostra que é um dispositivo de tunelamento, mas eu realmente não sei como é usado, o que está usando e por que ele tem um endereço IP.

Eu tenho o iptables ativado, e parece haver algum link entre o iptables e o tun, se isso ajudar.

    
por smcg 11.07.2013 / 20:07

2 respostas

20

É para software de tunelamento. Veja o artigo da wikipedia intitulado: TUN / TAP para detalhes completos.

trecho da página de manual do tun do FreeBSD

The tun interface is a software loopback mechanism that can be loosely described as the network interface analog of the pty(4), that is, tun does for network interfaces what the pty(4) driver does for terminals.

Esta página de documentação socat faz um bom trabalho ao mostrar como eles poderiam ser usado.

trecho de socat doc

Some operating systems allow the generation of virtual network interfaces that do not connect to a wire but to a process that simulates the network. Often these devices are called TUN or TAP.

Referências

por 11.07.2013 / 20:10
10

Como @slm já escreveu, uma interface TUN é um loopback de software que emula uma interface de rede da mesma forma que uma interface TAP. Em termos práticos, uma interface TUN é a emulação de uma interface camada 3 . Ou seja, é um dispositivo de emulação de camada de rede que pode encapsular pacotes de dados de natureza variada, seja TCP, UDP, SCTP ou pacotes encapsulados, como PPP, PPTP, AH / IPSEC, etc. Por outro lado, uma interface TAP é a emulação de uma interface da camada 2 , ou seja, é um dispositivo de emulação de link de dados que pode funcionar como ethernet, arcnet, token ring, etc.

Isso tem diferentes implicações práticas. Por exemplo, ao projetar um firewall, se você quiser criar uma rede interna NATed com endereços não roteáveis, você usaria interfaces TUN para criar sua ponte de filtragem. Se você tiver um conjunto de endereços IP públicos que você pode atribuir a hosts internos, mas ainda quiser firewall todo o tráfego, você usaria interfaces TAP para emular uma ponte de ethernet na qual filtrar os pacotes de dados. Isso, a propósito, é a base do que é chamado de "firewall transparente".

    
por 11.07.2013 / 21:08