Use o gerenciador de rede em diferentes netns

Question

Use o gerenciador de rede em diferentes netns

#1 resposta do (0 votos)

5

Em continuação de minha última pergunta sobre o uso de netns como um usuário relugar , agora estou procurando uma maneira de abrir túneis de VPN como um usuário comum.

Então, eu naturalmente pensei em gerente de rede. Qualquer usuário pode usá-lo para qualquer VPN.

Eu poderia apenas permitir a abertura de túneis VPN editando o arquivo sudoer, mas eu realmente preferiria não fazer isso.

Estou pensando em como usá-lo em namespaces de rede diferentes. De acordo com esta fonte , o network-manager pode suportar netns, se bem entendi a frase:

The interface must be configured manually because ifupdown does not support namespaces yet, and it would use the same /run/network/ifstate file which tracks the interfaces of the main namespace (this is also a good argument in favour of something persistent like Network Manager...).

Obrigado.

EDIT: No momento eu não descobri como dizer ao network-manager para gerenciar vários namespaces. Minha ideia agora é lançar várias instâncias de network-manager (como root) em cada namespace. O fato é que não consigo acessar várias instâncias de gerenciador de rede. Do syslog:

<error> [1443615747.550129] [nm-dbus-manager.c:808] nm_dbus_manager_start_service(): Could not acquire the NetworkManager service as it is already taken.

users vpn networkmanager

por Raspbeguy 18.09.2015 / 16:19

1 resposta

Tags users vpn networkmanager

Linux / Unix (Como bloquear portas para um determinado processo) [fechado] Configuração do kernel diff - melhor maneira de manter

score 0 · Answer 1

A postagem do blog que você vincula apenas a listas ip netns de comandos, e é neste contexto (que você infelizmente deixou de fora quando cita) que ifupdown é mencionado, e só então o gerente de rede. Para usar várias instâncias do gerenciador de rede, é necessário isolá-las primeiro com relação a provavelmente montar namespaces e ipc (leia-se: dbus unix socket IPC, se não me engano). Tornar esse isolamento unindo um namespace de rede ou criar seu próprio é apenas a etapa final em uma série de etapas complexas para proteger ou isolar o gerenciador de rede. Você provavelmente seria melhor começar com algum contêiner e colocar toda a infraestrutura necessária nela ... mas isso causa todos os tipos de problemas, especialmente com o material de contêineres em rede imposto pelo IPAM, dependendo do modelo de driver de rede escolhido.