LINUX.ORG.RU
ФорумAdmin

Помогите оседлать iptables

 ,


1

3

Пытаюсь сделать некий kill-switch для vpn соединения, работать должно крайне просто - отвалился VPN - тут же любые пакеты наружу - Operation not permitted.

Проблема в том, что у меня несколько интерфейсов, условный eth0 и wlan1 wlan2. Работать должно везде равносильно.

[url] https://paste.ubuntu.com/p/jyZXg5pFBw/ [/url]

Да, не очень красиво выглядит. Самое главное, что работает только с Ethernet интерфейсом, если же я подключён по WLAN, нету запрета на выход при отвале впн, спокойно идёт наружу пакет, непонятно почему.

И попутный вопрос, можно ли как-то в одну строку запихать правило с двумя тремя интерфейсами, типа iptables -A OUTPUT -j DROP -p TCP -o eth0 wlan1 wlan2 wlan3 ?

У меня nftables и вот так

        chain my_output {
                type filter hook output priority filter; policy drop;
                udp dport PORT_VPN_SERVER ip daddr IP_VPN_SERVER accept comment "Openvpn connection"
                tcp dport PORT2_VPN_SERVER ip daddr IP_VPN_SERVER accept comment "SSH"
                oifname "tun0" accept comment "Openvpn only"
                ip daddr { 10.8.11.0/24, 192.168.0.0/16 } accept comment "LANs"
                oif "lo" accept comment "Localhost"
        }
TalkingMudcrab
()

Если не через тоннель то reject исключая коннект к твоему vpn, типа вот так:

-I OUTPUT 1 ! -o t+ -j vpn-firewall-reject
-I OUTPUT 1 -d $vpn_server_ip -j RETURN
Aber ★★★★★
()
Последнее исправление: Aber (всего исправлений: 2)

Дешево и сердито в одну строку 

for i in eth+ wlan+ ; do iptables -A OUTPUT -j DROP -p TCP -o $i;done

Есть подозрение, что можно замутить через realms: dgw через внешние интерфейсы добавлять с «realms X» а проверять 

iptables -A OUTPUT -j DROP -p TCP -m realm X

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin