如何使用 专门从网络命名空间内的网络接口捕获流量tshark？在我的例子中，网络接口tun0被移动到名为vpn.

通常运行tshark -f "port 53"会使输出混乱，因为它包括来自网络命名空间最终使用的主接口的 DNS 查询。

这是我的网络命名空间设置（对于它的价值，这是来自这里的 openvpn netns-up 脚本：http: //www.naju.se/articles/openvpn-netns.html）

$ ip netns add vpn
$ ip netns exec vpn ip link set dev lo up
$ ip link set dev tun0 up netns vpn mtu 1500
$ ip netns exec vpn ip addr add dev tun0 "10.14.0.3/16"

$ ip netns exec vpn ip addr add dev tun0 "$ifconfig_ipv6_local"/112

$ ip netns exec vpn ip route add default via 10.14.0.1

$ ip netns exec vpn ip route add default via "$ifconfig_ipv6_remote"

我有一个在网络命名空间中运行的应用程序。这很好用。

我想在不同的命名空间中多次运行该应用程序。为方便起见，我想将应用程序的工作目录绑定到命名空间内的 /tmp/nsX 之类的目录。

如果我只是mount --bind /tmp/nsX /var/lib/my-app在命名空间中执行，那么当我退出命名空间时，挂载就会消失。

通过进入/退出命名空间，我的意思是ip netns exec bash

我在看，unshare但nsenter我不知道该怎么做。

我想要：

• 为命名空间配置网络
• 在命名空间中为我的应用程序的工作目录创建绑定挂载。
• 在命名空间中生成我的应用程序。如果有帮助，它有一个“叉子”选项。
• 能够离开和进入命名空间而不会死亡或消失。

如果我需要使用其他一些命名空间类型，那很好。

我正在尝试保护单节点 Elasticsearch 机器。基本上，我想将 Elasticsearch 放在反向代理 (nginx) 后面，并确保任何用户或进程与 Elasticsearch 通信的唯一方式是通过代理。

如果 Elaticsearch 支持监听 unix 套接字，这将是微不足道的。我可以在套接字文件上设置适当的权限并完成。但是，因为它没有，所以我只能在 TCP 端口上进行监听。

我已经阅读了一些关于网络名称空间的内容，似乎它们可以工作，但我对它们的经验为零。

是否有一种简单且安全的方法来确保机器上唯一可以与 Elasticsearch 通信的进程/用户是 nginx？

我正在尝试制作一个 VPN 路由器，同时保持主机本身在没有 VPN 的情况下访问 Internet。主机只有一个无线网卡。所以我通过添加了两个虚拟接口iw phy phy0 interface add xxxxx。一个（wlan0_sta）作为将无线连接到互联网的站点。另一个（wlan0_ap）作为AP连接客户端。也是作为 VPN 端点的线保护设备 (wg0)。hostapd 和 iptables 参与其中。

现在每个部分都工作了，除了来自客户端的数据被路由到 wlan0_sta，而不是 wg0。所以我计划将 wlan0_ap 和 wg0 放在一个单独的网络命名空间中，以使路由工作。但我发现iw不能将虚拟接口放入网络命名空间。只有“phy”可以放入网络命名空间。

所以我该怎么做？

任务

我需要明确且没有“整体”猜测的情况下在另一个网络命名空间中找到veth 端的对等网络接口。

理论 。/。现实

尽管有很多文档和关于 SO 的答案都假设网络接口的 ifindex 索引在网络名称空间中每个主机都是全局唯一的，但这在许多情况下并不成立：ifindex/iflink 是模棱两可的。甚至环回也已经表明相反的情况，在任何网络命名空间中的 ifindex 都是 1。此外，根据容器环境，ifindex数字会在不同的命名空间中重用。这使得跟踪 veth 布线成为一场噩梦，尤其是有很多容器和一个带有 veth 对等点的主机桥都以 @if3 左右结尾......

示例：link-netnsid是0

启动一个 Docker 容器实例，只是为了获得一个veth从主机网络命名空间连接到新容器网络命名空间的新对......

$ sudo docker run -it debian /bin/bash

现在，在主机网络命名空间列表中的网络接口（我忽略了那些对这个问题不感兴趣的接口）：

$ ip链接显示
1: lo: mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    链接/环回 00:00:00:00:00:00 brd 00:00:00:00:00:00
...
4：docker0:mtu 1500 qdisc noqueue state UP mode DEFAULT group default
    链接/以太 02:42:34:23:81:f0 brd ff:ff:ff:ff:ff:ff
...
16: vethfc8d91e@if15: mtu 1500 qdisc noqueue master docker0 state UP mode DEFAULT group default
    链接/以太 da:4c:f7:50:09:e2 brd ff:ff:ff:ff:ff:ff 链接-netnsid 0

如您所见，虽然iflink是明确的，但link-netnsid是 0，尽管对等端位于不同的网络命名空间中。

作为参考，请检查容器的未命名网络命名空间中的 netnsid：

$ sudo lsns -t 网络
        NS 类型 NPROCS PID 用户命令
...
...
4026532469 网络 1 29616 根 /bin/bash

$ sudo nsenter -t 29616 -n ip 链接显示
1: lo: mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    链接/环回 00:00:00:00:00:00 brd 00:00:00:00:00:00
15: eth0@if16: mtu 1500 qdisc noqueue state UP mode DEFAULT group default
    链接/以太 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff 链接-netnsid 0

因此，对于两个 veth 端ip link show（和 RTNETLINK fwif）都告诉我们它们与 netnsid 0 在同一个网络命名空间中。在 link-netnsids 是本地而不是全局的假设下，这是错误的或正确的。我找不到任何文档来明确说明 link-netnsids 应该具有的范围。

/sys/class/net/...不去救援？

我查看了 /sys/class/net/ if /... 但只能找到 ifindex 和 iflink 元素；这些都有据可查。“ip link show”似乎也只以（in）著名的“@if#”符号的形式显示对等 ifindex。还是我错过了一些额外的网络命名空间元素？

底线/问题

是否有任何系统调用允许检索 veth 对的对等端丢失的网络命名空间信息？