要約：Linuxネットワーク名前空間を使用したネットワークレベルのアプリケーション分離。 SSHトンネルの編成。



伝統的に、記事のほとんどは理論と退屈なスクリプトに捧げられます-記事の終わりに。 書き込みはWebブラウザーを含むすべてのアプリケーションに適用できますが、Steamは実験の主題として使用されます。



エントリーの代わりに。 この写真を表示します。



147％...思い出させるもの。 ただし、Habrは政治のためではありません。



Steamのゲームの価格は地域によって異なります。 地域-IP'shnikから。 ユーロではなくルーブルで価格を設定したいという要望があります。



これを行うには、tunデバイスとネットワーク名前空間を使用してSSH経由でVPNを使用し、他のすべてのネットワークデバイスからアプリケーションを分離します。

ネットワーク名前空間

従来、ユーザー権限で起動するアプリケーションには、ネットワークへのフルアクセスがあります。 システムに存在する任意のネットワークアドレスを使用してパケットを送信できます。



さらに、ほとんどのデスクトップアプリケーションは、システムのネットワークインターフェイスが1つだけであり、どのインターフェイスを使用するかを指定できないと想定しているため、インターフェイスで何も理解しません。 通常、サーバーソフトウェアにはこのオプション（送信者アドレスとして使用するアドレス）がありますが、デスクトップではこれは受け入れられない贅沢です。



複数のインターフェース（VPNに関連するインターフェース）がある場合、eth0 / wlan0ではなく、使用する必要があることをSteamに通知する標準的な方法はありません。 より正確には、VPN内のすべてのトラフィックを「ラップ」できますが、これは必ずしも望ましいとは限りません。 少なくとも、遅延の増加と速度の低下（VPNが超高速サーバーにつながる場合でも、遅延の増加、トンネルからのオーバーヘッド、ローカルチャネルの固定幅により、TCPは速度を落とす必要がある位置に置かれます）。 最大で、「ロシアのVPN経由で購入する」ことと、すべてのトラフィックをそこに通すことです。 Roskomnadzorによる反対や自由な思考からの保護を得るために VPN を使用することに、私はまったく惹かれません。



これらの条件下では、1つの特定のアプリケーションと特定のネットワークインターフェイスに1つを残したいという大きな要望があります。 一。 このアプリケーションのニーズのみに合わせて構成されています。



Linuxでこの問題を解決するために、かなり長い間（2007年以来）、ネットワーク名前空間、つまりネットワークの名前空間と呼ばれる技術があります。 テクノロジーの本質：一種の「ディレクトリ」がネットワークインターフェース上に作成され、各ディレクトリは複数のネットワークインターフェースとアプリケーションを持つことができます。 特定のネットワーク名前空間で自身を検出するアプリケーションは、このスペースに割り当てられているネットワークインターフェイスのみを使用（および表示）できます。



次の図は、何が起こっているのかを説明しています。





もちろん、このような豊富な構成はデスクトップではありませんが、何が起きているのかを純粋な形で説明することができます。



異なる名前空間は異なる色で強調表示されます。 指定されたインターフェースは、指定された名前空間からのみ利用可能であり、他には何もありません。 たとえば、赤のネームスペースは、tap1、veth1およびlo、青はeth1、eth2、loおよびveth0、緑はtun0およびloのみにアクセスできます。 ネームスペースの外では、eth0が残り、ネイティブインターフェイスはbr1、tap0、loです。



各名前空間には独自のloがあることに注意してください！ loの青い名前空間でmysqlをリッスンする場合、緑の（および青以外の）名前空間からはアクセスできません。 おそらくこれが最も楽しい機能です。 2番目の機能は、異なるインターフェイスの異なる名前空間で同じIPアドレスを使用できることであり、何もありません。 もちろん、各名前空間のルーティングテーブルは異なります。



熱心な読者は、仮想化の精神を感じました。 はい、もちろんです。 ネットワーク名前空間は（このレベルの他のテクノロジーと一緒に）LXC（Linuxでのコンテナー仮想化）の重要な部分です。 しかし、openvzや他の多くの同様のテクノロジーとは異なり、LXCコンポーネントは非常に一般的であるため、スタンドアロンツールとして使用できます。 そして、これは正しいUnixの方法です。誰もが1つだけを行いますが、それは良いことです。 純粋主義者は「すべてをコアに押し込むのは悪い」と言うかもしれません。



現在のネットワークの外部につながるtun / tapインターフェイスを使用してアプリケーションを終了すると、最も興味深い画像が得られます（上の図では、緑色の名前空間に孤立したtunがあります）。 tunがコンピューターの外部（vpnサーバーなど）にある場合、アプリケーションはコンピューターが実際に持っているネットワーク設定を理解する方法がありません。 たとえば、VPNがキプロスからロシアにつながる場合、緑色の名前空間で実行されているアプリケーションはすべてロシアからアドレスを受け取り、ロシアにあるかのようにネットワークに移動します。 実際、これはSteamがロシアのIPを所有していると信じ、ゲームを半額で販売することに同意するために必要なものです。



国の定義では、Steamは少し奇妙です。 VPNがない場合、Steamは時々価格をユーロで、時にはルーブルで表示し、パターンを理解できませんでした。 ロシアのVPNはすべての質問を削除しました-価格は常にルーブルです。



ネットワーク名前空間の操作に関する簡単なヒント（記事の終わり近くの実用的なヒント）：

ip netns



ネットワーク名前空間のリスト（すべてのip netnsコマンドでip netに短縮できます）

ip netns add/delete foo



という名前のネットワーク名前空間を作成/削除

ip netns exec foo /usr/bin/bin



指定されたネットワーク名前空間でプログラムを実行します（すでに実行中のアプリケーションをドラッグできないことに注意してください）

ip link set eth99 netns foo



インターフェイスを指定されたスペースにip link set eth99 netns foo



ます



そして、いくつかのトリック：



ip netns exec foo ip link



-fooスペース内のインターフェースのリスト

ip netns exec foo tcpdump -ni eth99



-tcpdump 注意、execの特定の作業により、Ctrl-Cを押した後にのみ画面への出力が表示されます。 迷惑な場合-以下を参照してください。

sudo ip netns exec foo login -f username



名前空間内でログインを実行します。 ログインしたユーザーは、端末/グループリーダーの設定などが完全に構成された状態で、指定されたネームスペースで既に動作しています。

SSHを介したVPN組織

冗長性のために、openvpn、openswan、およびその他のアプリケーションが好きではありません。 私はいくつかの状況で彼らの必要性を認識していますが、できるときはSSHを使用しようとします。 いくつかの理由があります。

1）SSHは、どのサーバーでもすぐに使用できます。

2）SSHはgre / udpではなくTCPを使用します。エキゾチックな場所から価値のないWiFiで接続する必要がある場合は、ポート22および443のsshが使用されます。 22番目のポートをまだ閉じることができる場合、443-間違いなく、 HTTPSはそれを使用します（ブロックされた場合、inするハムスターはすべてをGoogle / Facebookなどに送ります）

3）届く範囲のマシンにSSHクライアントがあります。つまり、Unixマシンから必要なトンネルを解除できます。 3〜5ステップ-窓付き。

4）トンネリング設定の程度は簡単に調整できます。 socks-proxyのみが必要な場合は、l2トンネルを発明しません。

5）追加のシャーマニズムなしで、複数の並列接続を任意の組み合わせで使用できます-異なるクライアントからの1つのサーバーへ、1つのクライアントからの異なるサーバーへなど。 完全に頭がおかしい人は、一般的に、閉じたポートを持つハードコアnatの背後の世界の5番目のポイントの3gに座っている孤独な小さなハエによって、大陸とネットワークを単一のL2セグメントに接続できます。 そして、それも機能します（世界の5番目のポイントである3gが、L3を介して飛んでいるブロードキャストキャスト/マルチキャストを消化できる程度まで）。



主な理由はさらに単純ですが、SSHはフルタイムのツールキットであり、必要なすべてを実行できます。 なぜ他に？



だから、SSHトンネルの理論

TUNインターフェース

TUNインターフェースは非常にシンプルです。システム内に仮想ネットワークインターフェース（tun0、tun1など）を作成し、他の「エンド」とともに、それを作成したプログラムのfd（ファイル記述子）を検索します。 プログラムはfdからのトラフィックをどうするかを決定します。 また、システム内のアプリケーション自体が、ネットワークインターフェイスの処理方法を決定します。



SSHの場合、SSHクライアントにその部分のtunインターフェース、その部分のSSHサーバーを作成し、それらを接続するように指示します。 一方では（クライアントから）トラフィックが着信し、他方では（サーバーから）トラフィックが発信されたことがわかります。 そしてその逆。 トンネルとは何ですか？ VPNを使用しない理由 SSHはトラフィックを暗号化する方法も知っているので、すぐに使えるV​​PNが得られます。 SSH内では、これはチャネルと呼ばれ、多重化されますが、あまり気にしません。



ここに何が起きているかを簡単に示します：





SSHサーバーからの協力が必要なことに注意してください。 以下のセクションでサーバー上にトンネルを作成する許可について説明しますが、NAT設定、アドレス指定などの詳細もあり、Freedom矢印が機能するようにします。



マージンに関する注意：tunインターフェースに加えて、タップインターフェースもあります。 L2セグメントを結合できます。 これは地獄、恐怖、ソドミー、無駄ですが、誰かが本当にやりたい場合は、自宅の完成したマシンへのSSH接続を使用して、異なるデータセンターからのいくつかのネットワークを結合しようとすることができます。 うまくいきます（結果を保証することはできません）。

実践的な行動

準備：

1. SSHキーをサーバーのルートにコピーします（キーがない場合は、 sudo ssh-keygen
   
   
   
   生成しsudo ssh-keygen
   
   
   
   ）。 通常、キーをローカルルートに作成します。これにより、キーと自分のキーを混同しないようになります。 キーは、 sudo ssh-copy-id root@server
   
   
   
   コマンドでsudo ssh-copy-id root@server
   
   
   
   。
2. リモートサーバー上のSSHがトンネルの使用を許可されていることを確認します。 /etc/ssh/sshd_config



PermitTunnel
   
   
   
   変数のコメントを外してyes
   
   
   
   設定する必要がありyes
   
   
   
   。
3. 任意の番号を選択します（echo $ RANDOM）。 これがトンネル番号になります。 それを覚えておいてください（または、42などの別のお気に入りの番号を使用してください）。
4. リモートサーバーをセットアップします。 私は他のディストリビューション/ OSのプロセスであるdebian / ubuntuのために書いています-それらのためのネットワークのセットアップに関するドキュメントを参照してください。 ファイル/ etc / networking / interfacesで、次の行を作成します。
   
   

    allow-hotplug tun42 auto tun42 iface tun42 inet static address 100.64.42.1 netmask 255.255.255.0 pre-up iptables -A POSTROUTING -t nat -s 100.64.42.0/24 -j MASQUERADE post-down iptables -D POSTROUTING -t nat -s 100.64.42.0/24 -j MASQUERADE
         
         
   
           
           
           
         
   
       
           
           
           
         
         
   
           
           
           
         
   
       
        

   
   
   これにより、tun42インターフェイスがサーバーに表示されるたびに、構成されたインターフェイスを自動的に受信できます。 同時に、NATがトンネルからパケットをブロードキャストできるようにし、インターフェイスが消えたらすぐにオフにします。
5. サーバーでルーティングを有効にしましょう。 /etc/sysctl.d/enable_routing.conf
   
   
   
   
   
   

    net.ipv4.conf.all.forwarding = 1
         
         
   
           
           
           
         
   
       
           
           
           
         
         
   
           
           
           
         
   
       
        

ほぼ完了です。 蒸気を流すだけです。 ローカルマシンで以下に説明するすべてのもの。

1. トレイアイコンを含むSteamの以前のコピーをすべてオフにします
2. サーバーに接続します： sudo ssh -w 42:42 root@server
   
   
   
   。 -wオプションは、tun42をローカルで作成し、リモートtun42と（作成することにより）関連付けることを指示します。
3. 隣接するコンソールで：
   
   

    xhost + sudo ip net add steam sudo ip link set netns steam dev tun42 sudo ip net exec steam ip addr add 100.64.42.2/24 dev tun42 sudo ip net exec steam ip link set up dev tun42 sudo ip net exec steam ip route add default via 100.64.42.1 sudo ip net exec steam login -f $USER export DISPLAY=:0 steam
         
         
   
           
           
           
         
   
       
           
           
           
         
         
   
           
           
           
         
   
       
        

   
   
   xhost +
   
   
   
   は、 xhost +
   
   
   
   Xサーバーに接続できるようにします（注意してください）。 パラノイアはman xhostを学習して、より正確なルールを指定できます。
   
   
   
   ip net add
   
   
   
   およびip net exec
   
   
   
   は、 ip netns add
   
   
   
   およびip netns exec
   
   
   
   -ネットワーク名前空間を作成し、作業中の新しいユーザーセッションを開始します。 export DISPLAY=:0
   
   
   
   は、「最初のXサーバーを使用します。 デフォルトでは、この変数はログイン時にリセットされ、それがないと、steamはXサーバーに接続できません

実際には、それだけです。 出口では、Steamのロシア価格とロシア検閲があります。 幸いなことに、それは蒸気を保護するだけであり、次のウィンドウのブラウザは非常に高速ではなく、非常に無料のCypriotインターネットを使用します。



次の部分で：

• x86_64マシンで32ビットSteamを実行する方法
• スチームを完全に分離して動作させる方法。ただし、ルートまたはメインユーザーから開始することはありません。 pulsaduio、dri、行方不明のライブラリを特定する方法、Steam自体をデバッグする方法による愛と憎しみ