Как раздать интернет на вторую сетевую карту?

Question

[SysUtils]

Доброго дня всем. Есть компьютер, подключенный к роутеру по wi-fi, который через него выходит в сеть. На компьютере настроена внутренняя сеть на фильтрацию трафика через Socks (redsocks - TCP + DNS Socks Proxy - UDP(через TCP). Задача: раздать интернет с этого локального компьютера на другую внешнюю сетевую карту(wi-fi адаптер подключенный к этому компьютеру), со всеми его настройками. То есть, чтобы когда подключился к внешней сетевой карте с другого устройства, имел такое же соединение с интернетом как и сам компьютер, если я правильно понимаю, выходил в сеть через него. Как такое сделать? Просто создать wi-fi соединение по типу 'точка-доступ' не получается, точнее получается, но трафик не фильтруется всеми теми правилами, которые присущие этому компьютеру. Что делать? С помощью чего? Перенаправление маршрута с помощью route+iptables? Подскажите, запутался немного(если можно, с примерами). Правила Redsocks

iptables -t nat -N REDSOCKS
iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN
iptables -t nat -A REDSOCKS -d 172.16.0.0/12 -j RETURN
iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN
iptables -t nat -A REDSOCKS -d 224.0.0.0/4 -j RETURN
iptables -t nat -A REDSOCKS -d 240.0.0.0/4 -j RETURN
iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 6666
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner %username% -j REDSOCKS

Вот что выдает команда ifconfig(с дополнительным адаптером):

enp3s0    Link encap:Ethernet  HWaddr 4c:72:b9:46:d9:53  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:132 errors:0 dropped:0 overruns:0 frame:0
          TX packets:132 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:10054 (10.0 KB)  TX bytes:10054 (10.0 KB)

wlp4s0    Link encap:Ethernet  HWaddr 00:08:ca:f9:2d:e2  
          inet addr:192.168.1.24  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::4edb:178e:c578:a312/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4297 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4792 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:2424885 (2.4 MB)  TX bytes:1264632 (1.2 MB)

wlxc04a002f8201 Link encap:Ethernet  HWaddr c0:4a:00:2f:82:01  
          inet addr:10.42.0.1  Bcast:10.42.0.255  Mask:255.255.255.0
          inet6 addr: fe80::c24a:ff:fe2f:8201/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:2945 (2.9 KB)

Это enp3s0 lan разъем, это wlp4s0 внутренняя сетевая карта, это wlxc04a002f8201 внешняя сетевая карта.

Answer 1

[krosh]

1. Ви-фи карта должна уметь быть точкой доступа. Не все на это способны, проверяйте.

2. У вас типичный шлюз. Настраивайте по любой инструкции, например: https://wiki.archlinux.org/index.php/Internet_shar... Добейтесь успешной работы в пересылке пакетов из "локальной сети" в интернет и переходите к п. 3.

3. Настройка Редсокса для локального трафика и проходящего мимо немного различается.
# If you want to configure socksifying router, you should look at
# doc/iptables-packet-flow.png and doc/iptables-packet-flow-ng.png and
# wikipedia/File:Netfilter-packet-flow.svg
# Note, you should have proper `local_ip' value to get external packets with
# redsocks, default 127.0.0.1 will not go. See iptables(8) manpage regarding
# REDIRECT target for details.
# Depending on your network configuration iptables conf. may be as easy as:
root# iptables -t nat -A PREROUTING --in-interface eth_int -p tcp -j REDSOCKS

4. Зачем Вам это? Используйте ВПН или ТОР если переживаете о безопасности.

Comments

[SysUtils]

>1. Ви-фи карта должна уметь быть точкой доступа
Этот пункт можно пометить галочкой. Внешняя карточка умеет и принимать и раздавать.

>2. У вас типичный шлюз. Настраивайте по любой инструкции
Я обязательно попробую завтра и отпишусь по результатам.

>3. Настройка Редсокса для локального трафика и проходящего мимо >немного различается
Ну я так понимаю, здесь нужно лишь изменить стандартный адрес Redsocks, редактировать правила Iptables, в связи с изменением адреса и добавить правило для внешнего адаптера, так?(вместо 'eth_int' указать свой адаптер).

>4. Зачем Вам это? Используйте ВПН
Ну прежде всего, научиться. Чем сложнее задача, тем больше знаний ты получишь, в конце ее решения. Мало просто почитать статьи на OpenNet или пройти курсы от Специалиста, нужно уметь применять знания на практике. Появилось желание взять роутер на OpenWRT, настроить его для фильтрации трафика через Socks, и раздавать готовый интернет на все устройства. Но в процессе реализации я просто-напросто сел. Сначала на настройке прошивки, затем на настойке самой системы, ну и принял решение сначала сделать это на своем локальном хосте, затем раздать на внешнюю сетевую карту, а потом уже приступить к роутеру, так сказать с багажом полученных знаний. И до VPN я тоже доберусь, не сейчас, но доберусь...

[SysUtils]

>Настраивайте по любой инструкции
Настроил как вы и сказали. Вроде работает, на команду 'tcpdump udp -i wlxc04a002f8201' показывает пакеты, при моем использовании с другого устройства, и по завершению пишет, что все пакеты подверглись фильтрации. Интернет работает, что на компьютере, что на устройстве, которое подключено к внешней сетевой карте. Я правильно думаю?
Настраивал так:
'
ip link set up dev wlxc04a002f8201
ip addr add 192.168.123.100/24 dev wlxc04a002f8201
sysctl net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -o wlp4s0 -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i wlxc04a002f8201 -o wlp4s0 -j ACCEPT
ip route add default via 192.168.123.100 dev wlxc04a002f8201
'
Затем в Network-manager создал подключение типа 'точка доступа', для раздачи, указал нужный интерфейс, в 'параметры IPV4' > 'способ настройки' > 'предоставить сеть другим компьютерам'
Что скажите? Можно переходить к следующему пункту?

[krosh]

SysUtils:
Похоже на рабочую конфигурацию. Но проще всего проверить - если есть интернет, то все работает.

И зачем Вы смотрите udp трафик?
И зачем последнее ip route add default via 192.168.123.100 dev wlxc04a002f8201?

Продолжайте, не нужно меня ждать :). Обращайтесь, если будут вопросы.

[SysUtils]

krosh: Хорошо, я вас понял. Спасибо.

>И зачем Вы смотрите udp трафик?
Первое, что пришло мне в голову. TCP слишком много, чтобы его анализировать. Имхо

>И зачем последнее ip route add default via 192.168.123.100 dev wlxc04a002f8201?
Задает адрес по умолчанию для подключенного устройства, чтобы не настраивать DHCP сервер.

[SysUtils]

krosh: даже не знаю, помните вы меня или нет)) Очень на долгое время я пропал, обстоятельства заставили так сказать. Я настроил раздачу Wi-Fi, добился успешной пересылки пакетов. Пробовал включить Redsocks и одновременно раздать Wi-Fi, в итоге на устройствах просто нет интернета. Поэтому нужно изменять настройки Redsocks, тут и загвоздка. Сидел, разбирался, голова кругом от этих пакетов.

iptables -t nat -A POSTROUTING -o wlan0 -j MASQUERADE
#Здесь мы задаем на канальном уровне физическую адресацию, через какой интерфейс, будут выходить все пакеты с этого компьютера
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#Эту строчку как не расшифровывал, все равно не понял. Что-то с тестированием связанно, по поводу проходящих пакетов которые имеют соединения или создают новые, однако имеют при этом еще соединения
iptables -A FORWARD -i wlan1 -o wlan0 -j ACCEPT
#Задаем правила для проходящих пакетов, чтобы они приходили на wlan1, а выходили с wlan0

Вот эта настройка iptables для wi-fi адаптера, она работает.
Сам Redsocks не хочет запускаться на других ip адресах кроме как 127.0.0.X, скажем возьмем адрес 10.0.0.2, при запуске службы он пишет, не удалось создать на этом адресе соединение, хотя на нем ничего не висит. Если указать скажем 127.0.0.2, то он запускается, однако выхода в интернет нету.
Настройки iptables для Redsocks

<
iptables -t nat -N REDSOCKS
#Создаем новую цепочку
iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN
iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN
iptables -t nat -A REDSOCKS -d 172.16.0.0/12 -j RETURN
iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN
iptables -t nat -A REDSOCKS -d 224.0.0.0/4 -j RETURN
iptables -t nat -A REDSOCKS -d 240.0.0.0/4 -j RETURN
#Игнорируем эти адреса и спокойно пропускаем трафик с них
iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 6666
#TCP трафик в цепочке Redsocsk перенаправляй на порт 6666, на котором висит сервис Redsocks 127.0.0.1:6666
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner %username% -j REDSOCKS
#Весь трафик TCP, который идет от имени %username% кидай в цепочку Redsocks
iptables -t nat -A PREROUTING --in-interface wlan1 -p tcp -j REDSOCKS
#Весь TCP который идет через wlan1 кидай в цепочку Redsocks.

Все комментарии, это то как я понимаю, что делает данное правило. По логике интернет должен работать, ибо пакеты идут на wlan0, то есть ПК, на котором прописаны правила, то весь трафик с wlan1(адаптера), должен фильтроваться и вроде как профит. Но по факту не работает, и как вы писали выше 127.0.0.1 не подойдет. Что скажите по данному поводу? Интересно услышать ваше мнение. Какой адрес использовать и где не дописал правила?(или неправильно написал).

[krosh]

SysUtils: даже если и забыл (так оно и есть), то не сложно вспомнить по сообщениям выше.

Из пояснения ничего не ясно. Покажите вывод команд на роутере, где стоит Redsocks:
ip a
ip r s
iptables-save
sysctl net.ipv4.ip_forward

И конфиг Redsocks покажите.

Без редсокса работает пересылка трафика лан-ви-фи в интернет?

Про редсокс в качестве роутера я писал выше:
Note, you should have proper `local_ip' value to get external packets with
# redsocks, default 127.0.0.1 will not go. See iptables(8) manpage regarding
# REDIRECT target for details.
# Depending on your network configuration iptables conf. may be as easy as:
root# iptables -t nat -A PREROUTING --in-interface eth_int -p tcp -j REDSOCKS

[SysUtils]

krosh: Да))) Объяснять я мастер. Я разобрался. Знаете, правильно говорят, что все таки как не крути, производительность у человека лучше днем, нежели ночью, или же нужно менять биологические часы окончательно, чтобы ночью работать лучше?)) Сел я днем, и понял свою ошибку. Интерфейс то должен слушать со всех адресов, и не нужно ничего придумывать. Пишем 0.0.0.0 в 'local_ip' и пишем все собранные правила iptables, одни которые говорят, как работать Redsocks, другие как перенаправлять трафик с одного интерфейса на другой, третьи как этот перенаправленный трафик отфильтровывать redsocks, и все работает))) Хотя вопрос все таки остался. Зачем нам раздавать интернет моего локального хоста на внешний адаптер, если можно конкретно для него указать, чтобы он фильтровался через таблицу Redsocks? Вот этой командой

iptables -t nat -A PREROUTING --in-interface eth_int -p tcp -j REDSOCKS

И еще один вопрос. Вы где-нибудь обучались? Или же самоучка?) Не подумайте ничего плохого, просто стало интересно. По-сути, это благодаря вашим подсказкам, я реализовал данную задачу и Вы даже ответили мне 'сверх нормы' отвечая на вопросы, не связанные с этой задачей. Пожалуй еще не один человек, на этом сайте не давал мне столь четкие и ясные ответы, связанные с конкретно поставленной задачей. Спасибо Вам)))!

[krosh]

SysUtils: Спасибо за добрые слова. Это важные слова на таком и подобных Тостеру сервисах.

Нет, я не где не учился теме сис. администрирования и сетям. Текущие знания вычитал сам и получил опытным путем. Ранее я решал задачку с Redsocks, поэтому был немного в теме.