[問題] 關於 openvpn 的一些腳本設定

作者gn00618777 (非常念舊)

看板Linux

標題[問題] 關於 openvpn 的一些腳本設定

時間Mon Nov 16 21:41:46 2015

如果是使用 ubuntu ，用 apt-get 套件，就會看到 /etc/init.d/openvpn 裡面一些 code ，我在 start_vpn () function 內看到 if ! grep -q '^[[:space:]]*client-to-client' $CONFIG_DIR/$NAME.conf ; then sysctl -w net.ipv4.conf.all.send_redirects=0 > /dev/null 看起來是假設 server.conf 內有 client-to-client 選項，他就會設定 /proc/sys/net/ipv4/conf/all/send_redirects 為 0 甚麼是 send_redirects ? google 第一個網址就是 super user 有看有翻譯......不懂，本人沒啥網路概念，是否有強者指點我一下，謝謝。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 58.115.110.72 ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1447681309.A.99D.html

→ CP64: send_redirects 指的是當你收到封包時用 ICMP Redirect 11/16 23:38

→ CP64: 通知發送封包端較佳的路由路徑 11/16 23:40

→ CP64: 但是這通常用於 router 上 11/16 23:40

→ CP64: 現在你是身為一個 vpn server 你就是要管理所有透過 vpn 的 11/16 23:40

→ CP64: 封包並不會希望使用 vpn 的客戶端走其他路徑吧 11/16 23:41

→ CP64: 然後 client-to-client 這行是代表用戶端之間可以看到對方 11/16 23:42

→ CP64: 這種情況下除了可能會因為路由重定向導至 vpn 失效之外 11/16 23:43

→ CP64: 還有其他安全風險 (這是我看那篇推敲的結果 @@ 11/16 23:43

→ CP64: 如果有不足不全或誤解之處還請其他前輩指教 ' -') 11/16 23:45

→ gn00618777: 這樣聽起來，選取的話，kernel會逕自由發送端，將封包 11/17 09:39

→ gn00618777: 傳向其他可能在網內的 client ? C大也是強者 11/17 09:41

※ gn00618777:轉錄至看板 Network 11/17 09:43

→ CP64: 應該說是 kernel 可能會要求 client 11/17 14:52

→ CP64: 走別的路徑找另一個 client 11/17 14:52

→ CP64: (對 client 之間互送的請求 11/17 14:54

→ gn00618777: 瞭解你的意思了，但我發現openvpn設定檔，就算有 11/20 10:00

→ gn00618777: client-to-client 他還是沒有把 send_redirects變為0 11/20 10:00

→ gn00618777: client 和 client 可以互相看到 11/20 10:01