LINUX.ORG.RU

Правило UFW для меняющегося IP (VPN)

 ,


0

1

Здравствуйте. Я использую VPN в Ubuntu с правилами UFW запрещающими утечку трафика в случае разрыва VPN соединения (так называемый kill switch).

sudo ufw default deny incoming sudo ufw default deny outgoing sudo ufw allow out on XYZ to XXX.XXX.XXX.XXX # где XXX - интерфейс сетевой карты, XXX.XXX.XXX.XXX - IP адрес VPN сервера sudo ufw allow out on tun0 # разрешить исходящие для VPN интерфейса

К сожалению мой VPN провайдер перестал предоставлять список своих IP-адресов и я больше не могу создавать правила UFW. Другие, подходящие мне VPN провайдеры также не предоставляют списки своих IP. Как заявляет поддержка, они не предоставляют списки IP-адресов для безопасности пользователей, а для предотвращение утечки трафика, предлагают установить фирменный VPN клиент. По ряду причин я не хочу устанавливать сторонние VPN клиенты.

Пожалуйста, помогите настроить UFW при условии, что каждый раз при включении VPN я получаю случайный, заранее не известный IP-адрес. Это вообще выполнимо?

Если это имеет значение, для настройки и подключения к VPN я использую конфигурационный файл *.ovpn импортированный в Network Manager.


Ответ на: комментарий от anonymous

Не проще, не доверенней, не приватней. К серверу ВПН провайдера одновременно сотня подключений и попробуй разбери сторонний наблюдатель кто откуда и куда. Я не уверен в своих силах и не уверен, что мой сервер не хакнут. У ВПН провайдеров попробуй ещё получи логи. Далеко не все их сливают по первому запросу. А ВПСка сольет тебя с потрохами даже без ордера.

Rcfg ()
Ответ на: комментарий от Rcfg

К серверу может быть и тысяча подключений, но от этого логи никуда не пропадают. Выдать их могут и по решению суда, и по требованию уполномоченного органа. Они могут утечь в результате взлома или недобросовестности сотрудника. Ты зря думаешь, что если ты используешь публичный сервис впн, то тебя не найдут, если это потребуется. Просто тут еще есть фактор получения прибыли от продажи твоих данных. Гарантировать, что твой провайдер их не сливает за вознаграждение на сторону ты не можешь. В итоге у тебя две потенциальные проблемы вместо одной при использовании собственного сервера.

sunnandt ()

После пары дней красноглазия я понял, что перед подключением мне нужно либо добавить в позволяющие правила вывод Nslookup от доменного имени ВПН сервера, либо при попытке подключения к серверу, выдергивать заблокированный ip из ufw лога и делать insert в позволяющее правило. Я даже готов пожертвовать интерфейсом Network Manager и кликать на скрипты. Но я недавно пользуюсь Linux и пока у меня недостаточно знаний для реализации. Был бы рад помощи.

Кстати по поводу Nslookup. В ответе он выдает только 10 ip привязанных к доменному имени ВПН сервера. Но я точно знаю, что с сервером ассоциировано намного больше IP. Как узнать их все??

Rcfg ()