Yggdrasil (Русский)

From ArchWiki
Состояние перевода: На этой странице представлен перевод статьи Yggdrasil. Дата последней синхронизации: 21 апреля 2022. Вы можете помочь синхронизировать перевод, если в английской версии произошли изменения.

Yggdrasil - это сетевой протокол и организованная с помощью него компьютерная сеть со сквозным шифрованием и автоматической маршрутизацией. Он доступен в большинстве популярных ОС и позволяет практически любому приложению с поддержкой IPv6 безопасно взаимодействовать с другими узлами Yggdrasil.

В статье содержится общая информация об установке и использовании Yggdrasil.

Установка

Установите пакет yggdrasil.

Запуск

Запустите/включите yggdrasil.service.

При запуске будет создан сетевой интерфейс tun и станут доступны два новых IPv6 интерфейса. Основным из них является тот, который начинается с 200: - это адрес под которым ваш компьютер будет известен в сети Yggdrasil. Для IP адресов используется зарезервированная часть стандарта IPv6, что позволяет избежать конфликтов в глобальной сети Интернет.

Для проверки работы сервиса запустите: 

# yggdrasilctl getself

Настройка

Для создания файла конфигурации /etc/yggdrasil.conf по умолчанию запустите yggdrasil-default-config.service, также он будет создан при первом запуске yggdrasil.service. По умолчанию Yggdrasil не подключается к публичным пирам и будет запущен как локальный сервис. В файл конфигурации /etc/yggdrasil.conf (в формате JSON) можно добавить публичные пиры, и после перезапуска сервиса ваш узел получит доступ к глобальной сети, а также станет доступен другим узлам сети.

Совет: Возможно, вы захотите включить межсетевой экран перед подключением к глобальной сети Yggdrasil, потому что ваш компьютер и все его службы будут доступны извне при подключении.

Дополнительная информация о настройке доступна в официальной документации.

Для доступа к глобальной сети Yggdrasil, начните с раздела публичные пиры в документации.

Локальный межсетевой экран

В современных сетевых технологиях обычная установка Linux не имеет прямого доступа к Интернету. Обычно только серверы имеют общедоступный IP-адрес. В результате ssh и подобные сервисы не могут быть атакованы кем угодно.

Важно понимать, что запуск и подключение к сети Yggdrasil изменяет эту ситуацию. Службы, прослушивающие все сетевые подключения, станут доступными для всех, кто подключается к этой сети. Возможно, вы захотите настроить их так, чтобы они не прослушивали сеть Yggdrasil или скрыть запущенные службы с помощью межсетевого экрана. Например: 

/etc/iptables/ip6tables.rules
#yggdrasil
*filter
:INPUT ACCEPT [8:757]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5:463]
-A INPUT -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i tun0 -m conntrack --ctstate INVALID -j DROP
-A INPUT -i tun0 -j DROP
COMMIT

Запустите/включите ip6tables.service, чтобы изменения вступили в силу.

Смотрите также