[問題] 關於 openvpn 的一些腳本設定

看板Linux作者 (非常念舊)時間8年前 (2015/11/16 21:41), 編輯推噓0(0017)
留言17則, 2人參與, 最新討論串1/1
如果是使用 ubuntu ,用 apt-get 套件,就會看到 /etc/init.d/openvpn 裡面 一些 code ,我在 start_vpn () function 內看到 if ! grep -q '^[[:space:]]*client-to-client' $CONFIG_DIR/$NAME.conf ; then sysctl -w net.ipv4.conf.all.send_redirects=0 > /dev/null 看起來是假設 server.conf 內有 client-to-client 選項,他就會設定 /proc/sys/net/ipv4/conf/all/send_redirects 為 0 甚麼是 send_redirects ? google 第一個網址就是 super user 有看有翻譯......不懂,本人沒啥網路概念,是否有強者指點我一下,謝謝。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 58.115.110.72 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1447681309.A.99D.html
11/16 23:38, , 1F
send_redirects 指的是當你收到封包時 用 ICMP Redirect
11/16 23:38, 1F
11/16 23:40, , 2F
通知發送封包端較佳的路由路徑
11/16 23:40, 2F
11/16 23:40, , 3F
但是這通常用於 router 上
11/16 23:40, 3F
11/16 23:40, , 4F
現在你是身為一個 vpn server 你就是要管理所有透過 vpn 的
11/16 23:40, 4F
11/16 23:41, , 5F
封包 並不會希望使用 vpn 的客戶端走其他路徑吧
11/16 23:41, 5F
11/16 23:42, , 6F
然後 client-to-client 這行是代表用戶端之間可以看到對方
11/16 23:42, 6F
11/16 23:43, , 7F
這種情況下除了可能會因為路由重定向導至 vpn 失效之外
11/16 23:43, 7F
11/16 23:43, , 8F
還有其他安全風險 (這是我看那篇推敲的結果 @@
11/16 23:43, 8F
11/16 23:45, , 9F
如果有不足不全或誤解之處 還請其他前輩指教 ' -')
11/16 23:45, 9F
11/17 09:39, , 10F
這樣聽起來,選取的話,kernel會逕自由發送端,將封包
11/17 09:39, 10F
11/17 09:41, , 11F
傳向其他可能在網內的 client ? C大也是強者
11/17 09:41, 11F
gn00618777:轉錄至看板 Network 11/17 09:43
11/17 14:52, , 12F
應該說是 kernel 可能會要求 client
11/17 14:52, 12F
11/17 14:52, , 13F
走別的路徑 找另一個 client
11/17 14:52, 13F
11/17 14:54, , 14F
(對 client 之間互送的請求
11/17 14:54, 14F
11/20 10:00, , 15F
瞭解你的意思了,但我發現openvpn設定檔,就算有
11/20 10:00, 15F
11/20 10:00, , 16F
client-to-client 他還是沒有把 send_redirects變為0
11/20 10:00, 16F
11/20 10:01, , 17F
client 和 client 可以互相看到
11/20 10:01, 17F
更多 gn00618777 的文章
文章代碼(AID): #1MITqTcT (Linux)