Un reticolo di tubi. Il demone nega la cabala.
Un tunnel serve per:
* passare inosservati
* entrare dove si puo solo uscire
* difendere l'indifendibile.
procurati un token su
https://attrezzi.esiliati.org/token/generate, se non ce l'hai chiedi ad un amico oppure, se proprio necessario, a vcn [@] esiliati {.} org
Installazione
crea la directory /etc/tinc/vcn
mkdir /etc/tinc/vcn
lancia tincd e fagli creare una chiave:
tincd -n vcn -K 4096
vai su
https://attrezi.esiliati.org/token/check e dagli il token
* scegli un nome per il tuo nodo
* apri il file rsa_key.pub, copia la chiave (la stringa contenuta tra -----BEGIN RSA PUBLIC KEY----- e -----END RSA PUBLIC KEY-----) e incollala nel form pubkey
* premi GO
copia il contenuto delle finestrelle nei file indicati, tutti contenuti nella directory /etc/tinc/vcn
avvia tinc:
tincd -n vcn
se usi systemd:
systemctl start tinc@vcn.service
systemctl enable tinc@vcn.service
Sicurezza
Il tuo nodo e' protetto dall'internet, ma visibile dagli altri nodi VCN, puoi proteggerlo con un muro di fuoco!
su Linux:
# fai vedere a tutti la tua ''webapp''
iptables -A INPUT -i vcn -p tcp --dport 80 -j ACCEPT
# fai passare i tuoi amici (172.20.0.31) sulle porte giuste (ssh)
iptables -A INPUT -i vcn -p tcp --dport ssh -s 172.20.0.31 -j ACCEPT
# fai passare le connessioni in uscita
iptables -A INPUT -i vcn -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
# blocca gli altri
iptables -A INPUT -i vcn -p tcp -j DROP
su NetBSD con NPF:
$tun_if = inet4(tun0)
$services_tcp = { 22, 25, 80, 443, 110, 143, 587, 993, 995, 6667, 9999 }
$services_udp = { 53 }
$vcn_friends = { 172.20.x.y/32, 172.20.z.w/32 }
group "tun" on $tun_if {
block in all
pass stateful in final proto tcp to $tun_if port $services_tcp
pass stateful in final proto udp to $tun_if port $services_udp
pass stateful from $vcn_friends
}
group default {
ruleset "test-set"
pass all
}
DNS
Dentro VCN c'รจ un server DNS.
Per usarlo devi dire al tuo server DNS locale di far risolvere i domini .vcn a 172.20.1.35.
Se usi dnsmasq devi aggiungere questo a /etc/dnsmasq.conf
server=/vcn/172.20.1.35#53