ребята. Я тестирую межсетевой экран нашей компании, и меня беспокоит какая-то проблема. «Межсетевой экран» работает как режим моста с интерфейсом eth1. Я хочу имитировать удаленный доступ клиента, «межсетевой экран» использует туннель ipip (или другой). У меня вопрос: могу ли я создать туннель на «межсетевом экране» с существующим интерфейсом с именем «eth1». Поскольку есть некоторые настройки фильтра iptables, используйте eth1. Я использую эту команду ниже, но произошла ошибка.
ip tunnel add eth1 mode ipip remote "$IPIPSERVER"
ip link set dev eth1 up
ip addr add "$LOCALADDR" peer "$PEERADDR" dev eth1
[root ~]# ip tunnel add eth1 mode ipip remote 2.2.2.2
add tunnel tunl0 failed: File exists
Ошибка может быть потому, что eth1 уже существует, я думаю. Я успешно создал туннель ipip при использовании приведенной выше команды с неиспользуемым именем интерфейса, например "vpn_tap".
8: vpn_tap@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN qlen 1
link/ipip 0.0.0.0 peer 2.2.2.2
inet 172.16.0.1 peer 172.16.0.2/32 scope global vpn_tap
valid_lft forever preferred_lft forever
Но мне нужно создать туннель на eth1. И я использую имя устройства, например "eth1: 2". Оно успешно создано. Но правила фильтра iptables не соответствуют "eth1: 2", потому что iptables config, как "-A XXX_DEFAULT_INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT".
Интерфейс «межсетевого экрана», как показано ниже, если может помочь.
[root@beat-box ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN qlen 1
link/ipip 0.0.0.0 brd 0.0.0.0
4: peth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master eth1 state UP qlen 1000
link/ether 08:00:37:02:01:00 brd ff:ff:ff:ff:ff:ff
6: peth1@if5: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue master eth1 state UP qlen 1000
link/ether 08:00:37:02:01:01 brd ff:ff:ff:ff:ff:ff
7: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
link/ether 08:00:37:02:01:00 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.100/32 scope global eth1:1
valid_lft forever preferred_lft forever
inet 10.1.0.2/24 scope global eth1
valid_lft forever preferred_lft forever
Я хочу создать туннель на eth1. Сделайте так:
7: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
link/ether 08:00:37:02:01:00 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.100/32 scope global eth1:1
valid_lft forever preferred_lft forever
inet 10.1.0.2/24 scope global eth1
valid_lft forever preferred_lft forever
> link/ipip 0.0.0.0 peer 2.2.2.2
> inet 172.16.0.1 peer 172.16.0.2/32 scope global
> valid_lft forever preferred_lft forever
Большое спасибо.
Туннель - это всегда новый интерфейс в сетевом стеке. Есть много причин, по которым это должно работать именно так.
Вам необходимо изменить настройки вашего брандмауэра, чтобы в этом случае вы могли работать с другим интерфейсом.