Tenders McChiken's questions

Enquanto brincava com um convidado do qemu descobri algo muito peculiar. Se eu configurar o firewall do sistema para rejeitar todo o tráfego para meu gateway ( 10.0.2.2), o firewall somente rejeitará o tráfego destinado diretamente ao gateway. O tráfego não destinado a 10.0.2.2aparentemente continua a ser roteado e flui pelo gateway como se a regra não estivesse lá.

Pelo que entendi do ponto de vista do hóspede ( 10.0.2.15):

Packet{dest==10.0.2.0/24}   10.0.2.15  -x->  10.0.2.2                (Rejected)
Packet{dest!=10.0.2.0/24}   10.0.2.15  <-->  10.0.2.2  <-> !=10.0.2.0/24 (Okay)

Isso é completamente contrário ao que eu esperava. Eu suponho que há algo que estou perdendo, mas não sei o quê.

Aqui está minha configuração:

• Regra de firewall:

  ufw reject out to 10.0.2.0/24
  

• Saída de ip route:

  default via 10.0.2.2 dev ens3 proto dhcp metric 100 
  10.0.2.0/24 dev ens3 proto kernel scope link src 10.0.2.15 metric 100 
  

• A parte relevante da saída de iptables -Sparece ser:

  -A ufw-user-output -d 10.0.2.0/24 -j REJECT --reject-with icmp-port-unreachable
  

Alguns ISPs usam apenas PPPoE para autenticação e exigem que o assinante da Internet defina os endereços de peer manualmente. Como faço para definir endereços de pares locais e remotos se estiver usando pppoeconf?

Informações básicas

• Estou usando um sistema Linux para rotear o tráfego para um pequeno bloco de endereços IPv4 públicos (habilitando o encaminhamento de IP em sysctrl.conf).
• O roteador está se conectando ao ISP eth1usando PPPoE.
• O endereço de peer local usado para ppp é um endereço IP configurado manualmente que foi especificado pelo ISP. O endereço do peer local é 10.0.0.10.
• O endereço de peer remoto usado para ppp também é um endereço IP configurado manualmente que foi especificado pelo ISP. O endereço do peer local é 10.0.0.9.

• A rota padrão do roteador é 10.0.0.9via 10.0.0.10.

• O roteador está conectado a um switch Ethernet via eth0. eth0está configurado para usar um dos endereços públicos.

• O switch conecta todos os outros hosts públicos. Cada host conectado usa um endereço IP público.

  10.0.0.9
ISP ----------+
              |   10.0.0.10                       X.X.X.X
              +------------- (eth1) ROUTER (eth0) --------------- SWTICH 
                                                                     |     
                                                                     +-- X.X.X.Y
                                                                     +-- X.X.X.Z
                                                                     ...

Meu problema

Tudo funciona como esperado, exceto os programas em execução no roteador. Qualquer aplicativo que eu execute no roteador usa 10.0.0.10como endereço IP de origem ao iniciar conexões com a internet. Isso é compreensível, pois eth1é onde a internet está disponível. No entanto, como o endereço não é roteável publicamente, apt, pinge outros programas não funcionam. Se eu definir explicitamente o endereço de origem nos aplicativos que o suportam (ou seja ping, ), os aplicativos funcionam.

Minha pergunta

Como posso configurar o roteador para rotear pacotes desconhecidos via eth1/ 10.0.0.9enquanto também uso o endereço IP público eth0como fonte padrão ao iniciar novas conexões?

Estou tendo um problema estranho com o apt onde ele trava durante o apt update. Eu quero habilitar a saída detalhada para ver o que exatamente está causando esse problema ou pelo menos onde ele ocorre. A página de manual para apt-getnão parece conter nada relacionado.

Como posso habilitar a saída detalhada para apt?