如果我创建以太网桥的新实例:
# brctl addbr br1
# ip link set dev br1 up
# ip addr add 10.100.100.1/24 dev br1
开始tinyproxy监听localhost其默认端口 8888:
# tinyproxy
创建firejail一个新的网络命名空间并将其连接到网桥:
# firejail --net=br1 /bin/bash
那么我该如何通过桥接器将流量路由到tinyproxy,以便curl从沙箱中获取网页firejail:
# curl --proxy http://10.100.100.1:8888 http://wtfismyip.com/text
答案1
以下命令对于刷新/删除链和禁用很有用ufw:
# /lib/ufw/ufw-init flush-all
创建以太网桥:
ext_if="enp8s8"
bridge="brtp8888"
proxy_port="8888" # tinyproxy default
brctl addbr "${bridge}"
ip link set dev "${bridge}" up
ip addr add 10.100.100.1/24 dev "${bridge}"
# Allow the bridge to route traffic to localhost
sysctl net.ipv4.conf."${bridge}".route_localnet=1
将指向网桥 8888 端口的 TCP 流量路由至tinyproxy:
iptables -t nat -A PREROUTING -i "${bridge}" -p tcp -j DNAT --to-destination 127.0.0.1:"${proxy_port}"
iptables -t nat -A POSTROUTING -s 10.100.100.0/24 -o eth0 -j MASQUERADE
(注:以上内容改编自Firejail 与 Tor 的使用方法。
Tinyproxy 限制连接,localhost除非有配置行,否则编辑/etc/tinyproxy.conf:
Allow 10.100.100.0/24
更完整的iptables规则:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i "${bridge}" -p tcp --dport "${proxy_port}" -j ACCEPT
iptables -t nat -A PREROUTING -i "${bridge}" -p tcp -j DNAT --to-destination 127.0.0.1:"${proxy_port}" # tinyproxy default
iptables -t nat -A POSTROUTING -s 10.100.100.0/24 -o eth0 -j MASQUERADE
等效ufw于:
## Copy the following into /etc/ufw/before.rules (see man ufw-framework, 'Port Redirections')
# *nat
# :PREROUTING ACCEPT [0:0]
# -A PREROUTING -p tcp -i brtp8888 --dport 8888 -j DNAT \
# --to-destination 127.0.0.1:8888
# COMMIT
# *nat
# :POSTROUTING ACCEPT [0:0]
# -A POSTROUTING -s 10.100.100.0/24 -o eth0 -j MASQUERADE
# COMMIT
ufw allow in on "${bridge}" from 10.100.100.0/24 proto tcp
另请参阅此帖子Firejail 并通过主机 OpenVPN 客户端连接到互联网。
如果有人可以解释为什么创建如上所述的桥接器、打开运行 Firefox 的沙箱并将--net=br1Firefox 的 HTTP 代理设置为网关 IP(即br1任何端口)也能起作用,我很感兴趣。