Consegui configurar um namespace de rede, estabelecer um túnel com o openvpn e iniciar um aplicativo que use esse túnel dentro do namespace. Até aí tudo bem, mas este aplicativo pode ser acessado através de uma interface web e não consigo descobrir como encaminhar solicitações para a interface web dentro da minha LAN.
Eu segui um guia do @schnouki explicando como configurar um namespace de rede e executar o OpenVPN dentro dele
ip netns add myvpn
ip netns exec myvpn ip addr add 127.0.0.1/8 dev lo
ip netns exec myvpn ip link set lo up
ip link add vpn0 type veth peer name vpn1
ip link set vpn0 up
ip link set vpn1 netns myvpn up
ip addr add 10.200.200.1/24 dev vpn0
ip netns exec myvpn ip addr add 10.200.200.2/24 dev vpn1
ip netns exec myvpn ip route add default via 10.200.200.1 dev vpn1
iptables -A INPUT \! -i vpn0 -s 10.200.200.0/24 -j DROP
iptables -t nat -A POSTROUTING -s 10.200.200.0/24 -o en+ -j MASQUERADE
sysctl -q net.ipv4.ip_forward=1
mkdir -p /etc/netns/myvpn
echo 'nameserver 8.8.8.8' > /etc/netns/myvpn/resolv.conf
Depois disso, posso verificar meu ip externo e obter resultados diferentes dentro e fora do namespace, como pretendido:
curl -s ipv4.icanhazip.com
<my-isp-ip>
ip netns exec myvpn curl -s ipv4.icanhazip.com
<my-vpn-ip>
O aplicativo é iniciado, estou usando o deluge para este exemplo. Eu tentei vários aplicativos com uma interface da web para garantir que não seja um problema específico de inundação.
ip netns exec myvpn sudo -u <my-user> /usr/bin/deluged
ip netns exec myvpn sudo -u <my-user> /usr/bin/deluge-web -f
ps $(ip netns pids myvpn)
PID TTY STAT TIME COMMAND
1468 ? Ss 0:13 openvpn --config /etc/openvpn/myvpn/myvpn.conf
9302 ? Sl 10:10 /usr/bin/python /usr/bin/deluged
9707 ? S 0:37 /usr/bin/python /usr/bin/deluge-web -f
Consigo acessar a interface da web na porta 8112 de dentro do namespace e do lado de fora se eu especificar o ip de veth vpn1.
ip netns exec myvpn curl -Is localhost:8112 | head -1
HTTP/1.1 200 OK
ip netns exec myvpn curl -Is 10.200.200.2:8112 | head -1
HTTP/1.1 200 OK
curl -Is 10.200.200.2:8112 | head -1
HTTP/1.1 200 OK
Mas eu quero redirecionar a porta 8112 do meu servidor para o aplicativo no namespace. O objetivo é abrir um navegador em um computador dentro da minha LAN e obter a interface web com link (meu-servidor-ip é o ip estático do servidor que instanciava a interface de rede)
EDIT: Eu removi minhas tentativas de criar regras do iptables. O que estou tentando fazer é explicado acima e os seguintes comandos devem gerar um HTTP 200:
curl -I localhost:8112
curl: (7) Failed to connect to localhost port 8112: Connection refused
curl -I <my-server-ip>:8112
curl: (7) Failed to connect to <my-server-ip> port 8112: Connection refused
Eu tentei regras DNAT e SNAT e joguei um MASQUERADE para uma boa medida, mas desde que eu não sei o que estou fazendo, minhas tentativas são fúteis. Talvez alguém possa me ajudar a montar esse constructo.
EDIT: A saída do tcpdump de tcpdump -nn -q tcp port 8112
. Não é novidade que o primeiro comando retorna um HTTP 200 e o segundo comando termina com uma conexão recusada.
curl -Is 10.200.200.2:8112 | head -1
listening on vpn0, link-type EN10MB (Ethernet), capture size 262144 bytes
IP 10.200.200.1.36208 > 10.200.200.2.8112: tcp 82
IP 10.200.200.2.8112 > 10.200.200.1.36208: tcp 145
curl -Is <my-server-ip>:8112 | head -1
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
IP <my-server-ip>.58228 > <my-server-ip>.8112: tcp 0
IP <my-server-ip>.8112 > <my-server-ip>.58228: tcp 0
EDIT: o próprio @schnouki me indicou um artigo da Administração Debian explicando um proxy TCP genérico do iptables . Aplicado ao problema em questão, o script deles ficaria assim:
YourIP=<my-server-ip>
YourPort=8112
TargetIP=10.200.200.2
TargetPort=8112
iptables -t nat -A PREROUTING --dst $YourIP -p tcp --dport $YourPort -j DNAT \
--to-destination $TargetIP:$TargetPort
iptables -t nat -A POSTROUTING -p tcp --dst $TargetIP --dport $TargetPort -j SNAT \
--to-source $YourIP
iptables -t nat -A OUTPUT --dst $YourIP -p tcp --dport $YourPort -j DNAT \
--to-destination $TargetIP:$TargetPort
Infelizmente, o tráfego entre as interfaces veth foi tomado e nada mais aconteceu. No entanto, @schnouki também sugeriu o uso de socat
como um proxy TCP e isso está funcionando perfeitamente.
curl -Is <my-server-ip>:8112 | head -1
IP 10.200.200.1.43384 > 10.200.200.2.8112: tcp 913
IP 10.200.200.2.8112 > 10.200.200.1.43384: tcp 1495
Eu ainda não entendi a estranha porta embaralhada enquanto o tráfego está passando pelas interfaces veth, mas meu problema está resolvido agora.