প্রশ্ন: একটি নির্দিষ্ট নেটওয়ার্ক ইন্টারফেসের মাধ্যমে নেটওয়ার্কের অ্যাক্সেসের সীমাবদ্ধ তা নিশ্চিত করার সময় আমি কীভাবে একটি প্রোগ্রাম চালু করব?

কেস: আমি একই আইপি (192.168.1.1) দিয়ে দুটি স্বতন্ত্র মেশিন অ্যাক্সেস করতে চাই, তবে দুটি পৃথক নেটওয়ার্ক ইন্টারফেসের মাধ্যমে (অধ্যায়ের 1 এবং এথ 2) অ্যাক্সেসযোগ্য।

উদাহরণ:

net-bind -D eth1 -exec {Program 192.168.1.1}
net-bind -D eth2 -exec {Program 192.168.1.1}

উপরে আমি চাই কি একটি পড়তা, হার্ডওয়্যার দ্বারা অনুপ্রাণিত বাঁধাই মাধ্যমে সম্পন্ন করা হয় primusrun এবং optirun ।

চ্যালেঞ্জ: সম্পর্কিত থ্রেডে যেমন পরামর্শ দেওয়া হয়েছে , ব্যবহৃত ইন্টারফেসগুলি প্রোগ্রাম দ্বারা নির্বাচিত হয় না, বরং কার্নেল দ্বারা বেছে নেওয়া হয় (সুতরাং উপরের উদাহরণে প্রাক-বাঁধার সিনট্যাক্স)।

আমি কিছু সম্পর্কিত সমাধান পেয়েছি, যা অসন্তুষ্টিজনক। তারা ব্যবহারকারী-নির্দিষ্ট নেটওয়ার্ক ব্ল্যাকলিস্টিংয়ের মাধ্যমে বাধ্যতামূলক নেটওয়ার্ক ইন্টারফেসের উপর ভিত্তি করে; অর্থাত্, ব্যবহারকারী হিসাবে প্রক্রিয়াটি চালানো যা কেবলমাত্র একটি নির্দিষ্ট নির্দিষ্ট নেটওয়ার্ক ইন্টারফেসে অ্যাক্সেস করতে পারে।

লিনাক্সের জন্য, ইতিমধ্যে সুপারউসারে এর উত্তর দেওয়া হয়েছে - বিভিন্ন প্রক্রিয়াগুলির জন্য কীভাবে বিভিন্ন নেটওয়ার্ক ইন্টারফেস ব্যবহার করবেন? ।

সর্বাধিক জনপ্রিয় উত্তরটি LD_PRELOADএকটি প্রোগ্রামের জন্য নেটওয়ার্ক বাইন্ডিং পরিবর্তন করতে একটি কৌশল ব্যবহার করে তবে আধুনিক কার্নেলগুলি 'নেটওয়ার্ক নেমস্পেসস' নামে অনেক বেশি নমনীয় বৈশিষ্ট্য সমর্থন করে যা ipপ্রোগ্রামের মাধ্যমে প্রকাশিত হয় । এই উত্তরটি কীভাবে এটি ব্যবহার করবেন তা দেখায়। আমার নিজের পরীক্ষাগুলি থেকে আমি নিম্নলিখিতগুলি (মূল হিসাবে) করেছি:

# Add a new namespace called test_ns
ip netns add test_ns

# Set test to use eth0, after this point eth0 is not usable by programs
# outside the namespace
ip link set eth0 netns test_ns

# Bring up eth0 inside test_ns
ip netns exec test_ns ip link set eth0 up

# Use dhcp to get an ipv4 address for eth0
ip netns exec test_ns dhclient eth0

# Ping google from inside the namespace
ip netns exec test_ns ping www.google.co.uk

নেটওয়ার্ক নেমস্পেসগুলি কিছুটা হলেও আদেশ unshareও nsenterকমান্ডের সাহায্যে পরিচালনা করাও সম্ভব । এটি আপনাকে পিআইডি, ব্যবহারকারী এবং মাউন্ট পয়েন্টের জন্য পৃথক স্পেস তৈরি করতে দেয়। আরও কিছু তথ্যের জন্য দেখুন:

• Jail এনসেন্টার: using ব্যবহার করে শিশুদের প্রক্রিয়াজাতকরণের নির্ভরযোগ্য উপায় `
• অপারেশন নেমস্পেসস

আমি গ্রমের উত্তর গ্রহণ করছি; আমার সমস্যা সমাধানের জন্য তাঁর পরামর্শে আমি যে পরিবর্তনগুলি করেছি তা ব্যাখ্যা করার জন্য এটি কেবল একটি ফলোআপ।

নেমস্পেসের অভ্যন্তরে শারীরিক ইন্টারফেসকে আবদ্ধ করার পরিবর্তে, আমি একটি ভার্চুয়াল নেটওয়ার্ক ইন্টারফেস জুড়ি তৈরি করেছি, যার একটি প্রান্তটি নেটওয়ার্ক নেমস্পেসের এক প্রান্ত এবং মূলের মধ্যে একটি। এরপরে প্যাকেজগুলি এই ভার্চুয়াল নেটওয়ার্কের মাধ্যমে নেমস্পেস, রুট নেমস্পেস এবং তারপরে শারীরিক ইন্টারফেসে রাউটে করা হয়। - যেমন আমি আমার সমস্ত সাধারণ ডেটা স্থানান্তর চালাতে সক্ষম হয়েছি এবং এর সাথে প্রসেসগুলি শুরু করে যা কেবলমাত্র একটি নির্দিষ্ট ইন্টারফেসে অ্যাক্সেস করতে পারে।

# Create the eth0 network namespace
ip netns add eth0_ns

# Create the virtual network pair
ip link add v_eth0a type veth peer name v_eth0b

# Move v_eth0a to the eth0_ns namespace, the virtual pair is now split
# between two network namespaces.
ip link set v_eth0a netns eth0_ns

# Configure the ends of the virtual network pairs
ip netns exec eth0_ns ifconfig v_eth0a up {{NAMESPACE_IP}} netmask {{NAMESPACE_NETMASK}}
ifconfig v_eth0b up {{ROOT_NS_IP}} netmask {{ROOT_NS_NETMASK}}

# Setup routing from namespace to root
ip netns exec eth0_ns route add default gw {{ROOT_NS_IP}} dev v_eth0a

# Setup IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s {{ROUTE_SOURCE}}/24 -o {{NETWORK_INTERFACE}} -j SNAT --to-source {{ROUTE_TARGET}}

Eth0 এবং eth1 এর জন্য ইন্টারফেসগুলি একবার সেট আপ হয়ে গেলে, তাদের নিজ নিজ নেমস্পেসস eth0_ns এবং eth1_ns সহ প্রোগ্রামগুলি নির্দিষ্ট ইন্টারফেসের মাধ্যমে কার্যকর করা যেতে পারে;

ip netns exec eth0_ns fish
ip netns exec eth1_ns fish

সমাধান আই: একটি নির্দিষ্ট গ্রন্থাগার প্রিলোড করা

• অ্যাপ-রুট-জেল : ইন্টারফেস গেটওয়ে জোর করার জন্য ld_preload ব্যবহার করুন (দুর্দান্ত ধারণা কিন্তু মূলের প্রয়োজন বা চিহ্নগুলির দক্ষতা প্রয়োজন) নোটগুলি বেলোতে বিশদভাবে ব্যবহার করা হয়েছে

• প্রক্সিবাউন্ড : একটি নির্দিষ্ট অ্যাপ্লিকেশনটিতে প্রক্সি জোর করার জন্য ld_preload ব্যবহার করুন (এটি ইন্টারফেসের পরিবর্তে প্রক্সি ব্যবহার করছে)

• ফোর্স-বাইন্ড : অনেকগুলি বৈশিষ্ট্য রয়েছে তবে বাইন্ড লিক (নির্ভরযোগ্য নয়)

• বাইন্ড-ইন্টারফেস-আইপি : খুব সাধারণ এবং ফুটো সংযোগগুলি (নির্ভরযোগ্য নয়)

• বাইন্ড-আইপি : উপায় খুব সহজ এবং লিক সংযোগগুলি (নির্ভরযোগ্য নয়)

সমাধান II: লিনাক্স ব্যবহারকারী স্থান

• ক্লাসিক লিনাক্স ব্যবহারকারী স্পেস আইপি-নেটস : দুর্দান্ত সমাধান তবে মূল এবং ইন্টারফেসের প্রয়োজন কেবলমাত্র একটি একক ব্যবহারকারীর স্পেসে

• ফায়ারজেল : ফায়ারজেল কোনও অ্যাপ্লিকেশনকে একটি নির্দিষ্ট নেটওয়ার্ক ব্যবহার করতে বাধ্য করতে পারে তবে সামঞ্জস্যতা সীমিত (উদাহরণ এটি সুরের ইন্টারফেসের সাথে সামঞ্জস্যপূর্ণ নয়)। ফায়ার জেলের মূল প্রয়োজন হয় নাfirejail --dns=8.8.8.8 --noprofile --net=eth0 --ip=192.168.1.1 app-command

• নেটনের সাহায্যে ফায়ারজেল : ফায়ারজেল একটি অ্যাপ্লিকেশনকে একটি নির্দিষ্ট ব্যবহারকারীর স্পেস ব্যবহার করতে বাধ্য করতে পারে যা আলাদাভাবে তৈরি করা হয়েছিল, এটি আমাদের মূল ছাড়াই স্পেসের নামকরণ করুকfirejail --dns=8.8.8.8 --noprofile --netns=nameOfyourNS app-command

• মাস্ক্রেড এবং ব্রিজ সহ ফায়ারজেল: ফায়ারজেল অ্যাপ্লিকেশনগুলিকে মাস্ক্রেডের সাথে একটি নির্দিষ্ট ইন্টারফেস ব্যবহার করতে একটি অ্যাপ্লিকেশনকে জোর করতে পারে , এটি দুর্দান্ত এবং মূলের প্রয়োজন হয় না তবে এটি ip_forward প্রয়োজন এবং এটি সুরক্ষা প্রভাব নির্দেশ করতে পারেfirejail --net=br0 firefox

সমাধান III: লিনাক্স iptables

Iptables এই উদ্দেশ্যে ব্যবহার করা যেতে পারে তবে এটি ip_forward প্রয়োজন এবং এটি সঠিকভাবে কনফিগার করা না থাকলে সুরক্ষা প্রভাব বোঝাতে পারে, উদাহরণ 1 , উদাহরণ 2 , উদাহরণ 3 , উদাহরণ 4

সমাধান (প্রথম, দ্বিতীয় এবং তৃতীয়) নোট:

Wireguard

যদি আপনি কোনও ভিপিএন (বিশেষত ওয়্যারগার্ড) ব্যবহার করে থাকেন এবং আপনি এই সমাধানটি একটি ওয়্যারগার্ড ইন্টারফেসে ব্যবহার করতে চান ( ব্যবহারকারীর স্পেস সহ ওয়্যারগার্ড ) আপনি কোনও ডাব্লুজি ইন্টারফেস যুক্ত একটি ইউজার স্পেস তৈরি করার জন্য লিঙ্কযুক্ত নির্দেশ অনুসরণ করতে পারেন (এবং এইভাবে কোনও ভিপিএন ইন্টারফেসে সীমাবদ্ধ) ) এছাড়াও firejail --netns=containerএটি রুট ছাড়াই ব্যবহারকারীর স্থান ব্যবহার করতে সক্ষম হতে একত্রিত হতে পারে।

ইন্টারফেস গেটওয়ে কীভাবে সন্ধান করবেন

গেটওয়েটি সন্ধানের জন্য এখানে অনেকগুলি সমাধান রয়েছে এখানে কয়েকটি আদেশ রয়েছে যা ব্যবহৃত গেটওয়েটি সন্ধানের অনুমতি দেয়

$ route
$ route -n
$ ip rule list
$ ip route show
$ netstat -rn
$ cat /etc/network/interfaces
$ cat /etc/sysconfig/network-scripts/ifcfg-eth0
$ traceroute www.google.com
$ ip route show 0.0.0.0/0 dev eth0

অ্যাপ-রুট-জেল কীভাবে ব্যবহার করবেন

• অ্যাপ-রুট-জেল তৈরি করুন

git clone https://github.com/Intika-Linux-Network/App-Route-Jail.git
cd Approute-Utils
chown 755 make.sh
./make.sh

• ভবিষ্যতে চিহ্নিত প্যাকেটগুলির জন্য একটি রুট যুক্ত করুন (জেলযুক্ত প্রয়োগের জন্য) 192.168.1.1জোর করে গেটওয়ে হিসাবে ব্যবহৃত হবে, এই রুট নিয়মটি অন্য অ্যাপ্লিকেশনগুলিকে প্রভাবিত করবে না, উদাহরণস্বরূপ সিস্টেম বুটে একবার এই ম্যানিপুলেশন করতে হবে যদি আপনি চান এই সমাধানটি প্রতিদিন ব্যবহার করুন

ip rule add fwmark 10 table 100
ip route add default via 192.168.1.1 table 100

• আপনি যে কারাগারে যেতে চান সেই আবেদনটি শুরু করুন

MARK=10 LD_PRELOAD=./mark.so firefox

• Wan IP ঠিকানা পরীক্ষা করা হচ্ছে

MARK=10 LD_PRELOAD=./mark.so wget -qO- ifconfig.me