タグ付けされた質問 「network-namespaces」

ネットワーク名前空間（netns）を使用するアーキテクチャがあります。通常のユーザーがこれらのネットワークでいくつかの操作を行えるようにしたいと思います。 この投稿にnetns-exec.sh触発され、実行されたスクリプトを記述できます：sudo ip netns exec $1 su $USER -c "$2" 私のsudoerファイルに追加します： user ALL=(ALL) /path/to/netns-exec.sh しかし、私はそれが非常にいので、それについて完全に悪夢を抱く可能性があります。通常のユーザーが名前空間を使用できるようにするより良いソリューションはありますか？ユーザーをいくつかの有用なグループに入れることは可能ですか？私はそれについて検索しましたが、何も見つかりませんでした。

22 sudo  root  privileges  network-namespaces 

特定のプロセスとの間のすべてのトラフィックとトラフィックのみがVPNを通過するように、VPNを設定しようとしています（OpenVPNを使用）。他のプロセスは引き続き物​​理デバイスを直接使用する必要があります。Linuxでこれを行う方法は、ネットワーク名前空間を使用することだと理解しています。 OpenVPNを通常どおりに使用する（つまり、クライアントからのすべてのトラフィックをVPNに送り込む）場合、正常に機能します。具体的には、次のようにOpenVPNを起動します。 # openvpn --config destination.ovpn --auth-user-pass credentials.txt （destination.ovpnの編集バージョンは、この質問の最後にあります。） トンネルデバイスを名前空間に制限するスクリプトを作成する次のステップに固執しています。私が試してみました： トンネルデバイスを名前空間に直接配置する # ip netns add tns0 # ip link set dev tun0 netns tns0 # ip netns exec tns0 ( ... commands to bring up tun0 as usual ... ) これらのコマンドは正常に実行されますが、ネームスペース内で生成されたトラフィック（たとえば、ip netns exec tns0 traceroute -n 8.8.8.8）はブラックホールに陥ります。 「仮想イーサネット（veth）インターフェースのみをネットワーク名前空間に割り当てることができる（まだ）ことを前提に（これは、真に不当に不必要なAPI制限に対して今年の賞を受賞）、vethペアとブリッジを作成し、名前空間にvethペアの一方の端を配置します。これは、床にトラフィックを落とすことさえしません：それは、私が橋にトンネルを入れることを許しません！[編集：これは、タップデバイスのみをブリッジに配置できるためです。ネットワーク名前空間に任意のデバイスを配置できないこととは異なり、実際には理にかなっています。ブリッジとはイーサネット層の概念です。残念ながら、私のVPNプロバイダーはタップモードでOpenVPNをサポートしていないため、回避策が必要です。] # ip …

16 linux  vpn  openvpn  network-namespaces 

ネットワーク名前空間を設定し、openvpnでトンネルを確立し、名前空間内でこのトンネルを使用するアプリケーションを起動することができました。これまでのところは良いですが、このアプリケーションはWebインターフェースを介してアクセスでき、LAN内のWebインターフェースにリクエストをルーティングする方法がわかりません。 @schnoukiのガイドに従って、ネットワーク名前空間を設定し、その中でOpenVPNを実行する方法を説明しました ip netns add myvpn ip netns exec myvpn ip addr add 127.0.0.1/8 dev lo ip netns exec myvpn ip link set lo up ip link add vpn0 type veth peer name vpn1 ip link set vpn0 up ip link set vpn1 netns myvpn up ip addr add 10.200.200.1/24 …

13 iptables  openvpn  port-forwarding  network-namespaces