伙计们。我正在测试我们公司的防火墙产品。有一个问题困扰着我。“防火墙”以桥接模式工作,具有 eth1 接口。我想使用 ipip(或其他)隧道模拟客户端远程访问“防火墙”。我的问题是,我可以在“防火墙”上使用名为“eth1”的现有接口创建隧道吗?因为有一些 iptables 过滤器设置使用 eth1。我使用下面的命令,但发生了错误。
ip tunnel add eth1 mode ipip remote "$IPIPSERVER"
ip link set dev eth1 up
ip addr add "$LOCALADDR" peer "$PEERADDR" dev eth1
[root ~]# ip tunnel add eth1 mode ipip remote 2.2.2.2
add tunnel tunl0 failed: File exists
我认为错误可能是因为 eth1 已经存在。我使用上述命令并使用未使用的接口名称(如“vpn_tap”)成功创建了 ipip 隧道。
8: vpn_tap@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN qlen 1
link/ipip 0.0.0.0 peer 2.2.2.2
inet 172.16.0.1 peer 172.16.0.2/32 scope global vpn_tap
valid_lft forever preferred_lft forever
但是我必须在 eth1 上创建隧道。我使用的设备名称为“eth1:2”。它创建成功。但是 iptables 过滤规则与“eth1:2”不匹配,因为 iptables 配置如下"-A XXX_DEFAULT_INPUT -i eth1 -p tcp -m tcp --dport 21 -j ACCEPT".
类似下面的“防火墙”界面是否可以提供帮助。
[root@beat-box ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: tunl0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN qlen 1
link/ipip 0.0.0.0 brd 0.0.0.0
4: peth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master eth1 state UP qlen 1000
link/ether 08:00:37:02:01:00 brd ff:ff:ff:ff:ff:ff
6: peth1@if5: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1500 qdisc noqueue master eth1 state UP qlen 1000
link/ether 08:00:37:02:01:01 brd ff:ff:ff:ff:ff:ff
7: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
link/ether 08:00:37:02:01:00 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.100/32 scope global eth1:1
valid_lft forever preferred_lft forever
inet 10.1.0.2/24 scope global eth1
valid_lft forever preferred_lft forever
我想要在 eth1 上创建一个隧道。让它看起来像这样:
7: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
link/ether 08:00:37:02:01:00 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.100/32 scope global eth1:1
valid_lft forever preferred_lft forever
inet 10.1.0.2/24 scope global eth1
valid_lft forever preferred_lft forever
> link/ipip 0.0.0.0 peer 2.2.2.2
> inet 172.16.0.1 peer 172.16.0.2/32 scope global
> valid_lft forever preferred_lft forever
多谢。
答案1
隧道始终是网络堆栈中的新接口。它必须这样工作的原因有很多。
在这种情况下,您需要调整防火墙设置,以便可以使用另一个界面。