¿Para qué sirve la interfaz de red tun?

Al ejecutar ifconfig, noté que hay una interfaz de red llamada tun0 y tiene una dirección ipv4. Un poco de investigación muestra que es un dispositivo de túnel, pero realmente no sé cómo se usa, qué lo está usando y por qué tiene una dirección IP.

Tengo iptables habilitado, y parece que hay algún vínculo entre iptables y tun, si eso ayuda.

Es para el software de tunelización. Vea el artículo de Wikipedia titulado: TUN / TAP para más detalles.

extracto de la página de manual de tun de FreeBSD

La interfaz tun es un mecanismo de bucle invertido de software que puede describirse libremente como la interfaz de red analógica del pty (4), es decir, tun hace para las interfaces de red lo que el controlador pty (4) hace para los terminales.

Esta socatpágina de documentación hace un buen trabajo al mostrar cómo se pueden usar.

extracto de doc socat

Algunos sistemas operativos permiten la generación de interfaces de red virtuales que no se conectan a un cable sino a un proceso que simula la red. A menudo, estos dispositivos se llaman TUN o TAP.

Referencias

• Páginas de referencia del manual - TUN (4)
• Tutorial de interfaz Tun / Tap
• Características menos conocidas de iproute

Como @slm ya ha escrito, una interfaz TUN es un loopback de software que emula una interfaz de red igual que una interfaz TAP. En términos prácticos, una interfaz TUN es la emulación de una interfaz de capa 3 . Es decir, es un dispositivo de emulación de capa de red que puede tunelizar paquetes de datos de naturaleza variada, ya sea TCP, UDP, SCTP sin formato o paquetes encapsulados como PPP, PPTP, AH / IPSEC, lo que sea. Por otro lado, una interfaz TAP es la emulación de una interfaz de capa 2 , es decir, es un dispositivo de emulación de enlace de datos que puede funcionar como ethernet, arcnet, token ring, etc.

Esto tiene diferentes implicaciones prácticas. Por ejemplo, al diseñar un firewall, si desea crear una red interna NAT con direcciones no enrutables, usaría interfaces TUN para crear su puente de filtrado. Si tiene un conjunto de direcciones IP públicas que puede asignar a los hosts internos pero aún así desea cortafuegos de todo el tráfico, usaría interfaces TAP para emular un puente de Ethernet en el que filtrar los paquetes de datos. Esto, por cierto, es la base de lo que se llama un "firewall transparente".