Intereting Posts
Проблема при установке драйвера для Archer T4U AC1300 на Mint 17 Как я выдаю себя за пользователя учетной записи домена Windows из процесса linux? Как правильно установить R в Debian? Частично удалить форматирование из текста в буфер обмена Ошибки набора номера Wvdial.conf. Модель малины Pi B Модем Huawei E1820 3G Как выполнить команду оболочки, созданную с использованием echo и sed? Почему не работает `head -c 2 / dev / hwrng`? Пользователь без полномочий root не может контролировать NetworkManager. правило polkit не действует GNU / Linux: «устройство: преобразователь устройств: создать ioctl failed» «устройство или занятый ресурс» Как отправить запрос ntp? Как использовать конкретную копию файла etc / apt / sources.list для загрузки определенного программного обеспечения Добавить дополнительную обработку в сборку automake для одного объекта Как я могу расшифровать двоичную строку shaX, закодированную в base64? Отправлять случайные данные через TCP на некоторое время и подсчитывать, сколько байтов было отправлено проводное соединение не работает под Ubuntu 10.04

Что делает CAP_NET_RAW?

Со страницы руководства я знаю, что вы можете использовать необработанные сокеты, но я не понимаю, что подразумевается под «привязкой к любому адресу для прозрачного прокси». Я знаю, что есть еще одна возможность для привязки к привилегированным портам, поэтому я знаю, что вы не можете привязать ни к одному порту. Есть ли способ сообщить Linux, что вы связываете адрес для прокси?

Цитирование из этой безопасности SE Ответ :

CAP_NET_RAW : может быть подделан любой тип пакета, который включает в себя фальшивые отправители, отправку искаженных пакетов и т. Д., Это также позволяет привязывать к любому адресу (связанному со способностью фальсифицировать отправителя, это позволяет выдавать себя за устройство, законно используемое для ” прозрачное проксирование «согласно man-странице, но с точки зрения злоумышленника этот термин является синонимом« Человек в середине »),

Да.

http://man7.org/linux/man-pages/man7/ip.7.html

Варианты сокетов

IP_FREEBIND (начиная с Linux 2.4)

Если этот параметр включен, этот логический параметр разрешает привязку к IP-адресу, который является нелокальным или не существует (пока). Это позволяет прослушивать сокет, не требуя, чтобы базовый сетевой интерфейс или указанный динамический IP-адрес были активны во время попытки привязки приложения к нему. Эта опция является эквивалентом для каждого сокета интерфейса ip_nonlocal_bind / proc, описанного ниже.

смотрите также

IP_TRANSPARENT (начиная с Linux 2.6.24)

Установка этой логической опции включает прозрачное проксирование на этом сокете. Эта опция сокета позволяет вызывающему приложению связываться с нелокальным IP-адресом и работать как в качестве клиента, так и сервера с внешним адресом в качестве локальной конечной точки. ПРИМЕЧАНИЕ: для этого необходимо, чтобы маршрутизация была настроена так, чтобы пакеты, отправляемые на внешний адрес, направлялись через окно TProxy (т. Е. Система, в которой размещено приложение, использующее опцию сокета IP_TRANSPARENT). Включение этого параметра сокета требует привилегий суперпользователя (возможность CAP_NET_ADMIN).

Перенаправление TProxy с целью iptables TPROXY также требует, чтобы эта опция была установлена ​​на перенаправленном сокете.

(основываясь на другой справочной странице, я думаю, достаточно CAP_NET_ADMIN или CAP_NET_RAW. И я очень надеюсь, что они необходимы и для IP_FREEBIND).