Do czego służy interfejs sieci tun?

Zauważyłem podczas uruchamiania ifconfig, że istnieje interfejs sieciowy o nazwie tun0 i ma on adres IPv4. Trochę badań pokazuje, że jest to urządzenie tunelujące, ale tak naprawdę nie wiem, jak jest używane, co go używa i dlaczego ma adres IP.

Mam włączoną iptables i wydaje się, że istnieje jakiś związek między iptables a tun, jeśli to pomaga.

To jest oprogramowanie do tunelowania. Zobacz artykuł w Wikipedii zatytułowany: TUN / TAP, aby uzyskać szczegółowe informacje.

fragment strony man tun FreeBSD

Interfejs tun to programowy mechanizm sprzężenia zwrotnego, który można luźno opisać jako analog interfejsu sieciowego pty (4), to znaczy tun robi dla interfejsów sieciowych, co robi sterownik pty (4) dla terminali.

Ta socatstrona dokumentacji pokazuje, jak można z nich korzystać.

wyciąg z socat doc

Niektóre systemy operacyjne umożliwiają generowanie interfejsów sieci wirtualnej, które nie łączą się z przewodem, ale z procesem symulującym sieć. Często urządzenia te nazywane są TUN lub TAP.

Bibliografia

• Strony referencyjne - TUN (4)
• Samouczek interfejsu Tun / Tap
• Mniej znane funkcje iproute

Jak już napisano @slm, interfejs TUN jest sprzężeniem zwrotnym oprogramowania, które emuluje interfejs sieciowy taki sam jak interfejs TAP. W praktyce interfejs TUN jest emulacją interfejsu warstwy 3 . Oznacza to, że jest to urządzenie emulujące warstwę sieciową, które może tunelować pakiety danych o zróżnicowanym charakterze, czy to surowe TCP, UDP, SCTP, czy pakiety kapsułkowane, takie jak PPP, PPTP, AH / IPSEC, cokolwiek. Z drugiej strony interfejs TAP to emulacja interfejsu warstwy 2 , to znaczy urządzenie do emulacji łącza danych, które może działać jako surowy Ethernet, Arcnet, Token Ring itp.

Ma to różne praktyczne implikacje. Na przykład, projektując zaporę ogniową, jeśli chcesz utworzyć wewnętrzną sieć NATed z adresami nierutowalnymi, do utworzenia mostka filtrującego użyjesz interfejsów TUN. Jeśli masz zestaw publicznych adresów IP, które możesz przypisać do wewnętrznych hostów, ale nadal chcesz zaporę ogniową, cały ruch użyłbyś interfejsów TAP do emulacji mostka ethernetowego, na którym będą filtrowane pakiety danych. To właśnie jest podstawą tzw. „Przezroczystej zapory ogniowej”.