LINUX.ORG.RU
ФорумAdmin

Настройка ufw/iptables killswitch для раздачи openvpn

 , , , ,


0

1

Столкнулся с проблемой при создании killswitch для openvpn, пробовал 2 варианта: на iptablles:

groupadd --system killswitch
iptables -A OUTPUT -m owner --gid-owner killswitch -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -j REJECT --reject-with icmp-admin-prohibited
sg killswitch 'openvpn config.ovpn'

на ufw:

sudo ufw reset
sudo ufw default deny incoming
sudo ufw default deny outgoing
sudo ufw allow out on tun0 from any to any
sudo ufw enable

Оба варианта работают для подключения внутри системы, но если раздавать wi-fi через NetworkManager то интернет на точке доступа пропадает. Пробовал делать исключения вида:

iptables -A OUTPUT -o "интерфейс wi-fi" -j ACCEPT
Но тогда при отключении openvpn killswitch не работает на точке доступа. Пытался сделать мост между адаптером wi-fi и tun0, но безуспешно( насколько я понял для wi-fi это невозможно из-за особенностей 802.11 протокола. Какие есть варианты настроить killswitch для точки доступа?

Почитай пожалуйста документацию по пакетному фильтру в Linux.

Входящие и исходящие пакеты для самого шлюза проходят через цепочку INPUT и OUTPUT, а транзитные пакеты через цепочку FORWARD.

Т.е. если ты раздаёшь что-то через шлюз, то тебе нужно написать правильно правила для FORWARD.

Вот почитай: https://www.opennet.ru/docs/RUS/iptables/

anonymous ()
Ответ на: комментарий от qrtts11

Ну ты хоть понимашь, что добавление разрешающего правила не должно ничего блокировать?

РАЗРЕШАЮЩЕГО!!!

Давай рисуй схему сети, что, как и куда подключено, с именами интерфейсов и IP адресов.

А так же показывай вывод iptables-save со шлюза, в тегах [code][/code].

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.