Un reticolo di tubi. Il demone nega la cabala. Un tunnel serve per: * passare inosservati * entrare dove si puo solo uscire * difendere l'indifendibile. procurati un token su https://attrezzi.esiliati.org/token/generate, se non ce l'hai chiedi ad un amico oppure, se proprio necessario, a vcn [@] esiliati {.} org

Installazione

crea la directory /etc/tinc/vcn mkdir /etc/tinc/vcn lancia tincd e fagli creare una chiave: tincd -n vcn -K 4096 vai su https://attrezi.esiliati.org/token/check e dagli il token * scegli un nome per il tuo nodo * apri il file rsa_key.pub, copia la chiave (la stringa contenuta tra -----BEGIN RSA PUBLIC KEY----- e -----END RSA PUBLIC KEY-----) e incollala nel form pubkey * premi GO copia il contenuto delle finestrelle nei file indicati, tutti contenuti nella directory /etc/tinc/vcn avvia tinc: tincd -n vcn se usi systemd: systemctl start tinc@vcn.service systemctl enable tinc@vcn.service

Sicurezza

Il tuo nodo e' protetto dall'internet, ma visibile dagli altri nodi VCN, puoi proteggerlo con un muro di fuoco! su Linux: # fai vedere a tutti la tua ''webapp'' iptables -A INPUT -i vcn -p tcp --dport 80 -j ACCEPT # fai passare i tuoi amici (172.20.0.31) sulle porte giuste (ssh) iptables -A INPUT -i vcn -p tcp --dport ssh -s 172.20.0.31 -j ACCEPT # fai passare le connessioni in uscita iptables -A INPUT -i vcn -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT # blocca gli altri iptables -A INPUT -i vcn -p tcp -j DROP su NetBSD con NPF: $tun_if = inet4(tun0) $services_tcp = { 22, 25, 80, 443, 110, 143, 587, 993, 995, 6667, 9999 } $services_udp = { 53 } $vcn_friends = { 172.20.x.y/32, 172.20.z.w/32 } group "tun" on $tun_if { block in all pass stateful in final proto tcp to $tun_if port $services_tcp pass stateful in final proto udp to $tun_if port $services_udp pass stateful from $vcn_friends } group default { ruleset "test-set" pass all }

DNS

Dentro VCN c'รจ un server DNS. Per usarlo devi dire al tuo server DNS locale di far risolvere i domini .vcn a 172.20.1.35. Se usi dnsmasq devi aggiungere questo a /etc/dnsmasq.conf server=/vcn/172.20.1.35#53