Доброго времени стуток.
Опишу ситуацию на хосте имеется запись в таблице маршр-ии:
xx.xx.xx.xx 255.255.255.255 192.168.1.1 eth0
если создать впн подключение, все запросы заворачиваются в туннель через tun интерфейс. Если после этого создать ssh подключение к адресу xx.xx.xx.xx. Исходящяя tcp сессия на удаленный адрес xx.xx.xx.xx согласно таблице маршрутизации создается с интерфейса eth0/192.168.1.76.
Как сделать чтобы пакеты уходили с tun интерфейса, не удаляя этот маршрут?
на ум пришло такое, но чет нет уверенности что заработает.
все усугубляется еще тем что адреса интерф. eth0, tun+ - динамические.
ЛОР послушаю ваших советов. Может как то по другому можно пометить пакет и дать ему верный путь.
И ещё, пока меня плющит... Рекомендую вообще убрать ssh с xx.xx.xx.xx/32 для безопасности. Пусть висит только в впн-е, ну и если есть, на локальном адресе... Но помните одно НО: удалённая настройка доступа - к дороге....
ТС - не слушай его!!! Он тебя плохому учит! Хотя перед этим вроде разумные веши писал.
Ну с одной стороны - да, тренироваться где-то таки надо, но, как я уже писал, очень часто нарывался на такие костыли, работая разъездным. Людям свойственно сделать что-то типа «временно» а потом так и оставить, а это «временно» потом задалбывает других.
Как пример, который меня просто вывел, в одной конторе стояла циска Л2, в неё было воткнуто всё, ётовский инет, серв с виртуализацией, все компы. Хозяева бизнеса хотели смотреть куда кто в инет лазит. на серве сделали дебиан в виртуалке, на нём проксю, всё хорошо, но блин маршруты делали по портам!!! Правила на цисаке, портянка чтобы запретить обычным компам, но разрешить серверу... Полный П. В итоге переделал красиво на вланы, и все довольны и на циске лишних правил нет, и всё понятно...
А в чём не прав-то? Явно видно что трясутся за безопасность, иначе не отгораживались-бы впном для ссаш, значит ссаш хотят отгородить от внешнего, я, кстати, пост подправил, обосновал почему так стоит сделать...
Поясню. Вы верно написали «к дальней дороге» vpn это еще одна прослойка которая может по какой-то причине перестать работать, выяснить мы тоже не сможем, ssh же на нем. Далее, вешать ssh только на конкретные интерфейсы глупо (точнее как раз напоминает костыли которые вы описывали ранее, не с разу в голову такое прийдет), iptables достаточно запретить. А в части безопасности, я вот тоже не люблю 100500 ботов на ssh, поэтому разрешаю доступ к нему только с определенных ip которые так или иначе раскиданы территориально и ко всем этим серверам я могу подцепиться по vpn (это на случай находимся хрен знает где) шансов одновременного навертывания этих n серваков не много, а если такое произойдет то это значит наступил полный пушистый зверь и решать надо будет уже долго и муторно.
Да, соглашусь, Вы верно говорите. А мой пост не зря начинался словами «Пока меня плющит» Если на серваке есть второй интерфейс в локалку, мои слова имеют какой-то смысл, если нет - Вы правы абсолютно полностью.
Если на серваке есть второй интерфейс в локалку, мои слова имеют какой-то смысл
Тоже не всегда верно. Если на «той» стороне в наличии эникей, а то и просто юзер, то продиктовать iptables -F всяко проще чем, объяснять как поправить конфиг, а при правке почти уверен что еще и гадостей в нем натворят.
Людям свойственно сделать что-то типа «временно» а потом так и оставить, а это «временно» потом задалбывает других.
Ну это же классика «нет ничего постояннее временного» :) Напомнило, была у нас в отделе прогеров одна мелкая временная софтинка, реально мелкая, так в разное время к ней как минимум человек шесть руку приложило, ну типа всплыл баг, время свободное есть, а давай заодно еще и здесь «облагорожу», мы ее так и называли «письмо из простаквашино» - это я к чему - «временная» лет 10 проработала в проде :)
