Предотвратить протекание openvpn

Если есть готовые решения, то это было бы замечательно.

iptables

Ты при таком подходе к задаче решил тягаться со спецслужбами?

Да тебе хоть линк на спутник дай, ты накосячишь в других местах.

Не только со спецслужбами, но и Васей, сниффающим трафик на публичном вайфае.

Странно, что такого по умолчанию или в готовых реализациях нет.

И тягаться со спецслужбами это не обязательно, когда они уже на тебя нацелились, и паяльник уже у тебя в заднице. Можно тягаться и когда ты лишь еще один интернет пользователь.

Дам хинты: прикладной софт под разных урезанных пользователей/чруты, уязвимый в kvm, далее рули этим правилом --uid-owner, и используй нормальный openvpn.

параноиков тред, сорм
оплаченный vpn-сервис
оплаченный
сорм

Замечательный топик о параное. Завернуть трафик в трубу, чтобы он не смешивался с чужим траффиком, всё это подписать собственной платежной транзакцией и отправить на анализ к большому брату.

Есть расчет на то, что большому брату в экзотической стране мой трафик менее интересен.

Белые вороны, готовые платить за шифрование, всегда привлекают наибольшее внимание.

Выделить один траффик из общего не представляет труда, завернуть он или не звернут в трубу. Вот посмотреть что внутри этой закрытой трубы сложнее.

поставь галку «использовать сеть для локальных ресурсов только» в настройках основной сети в НМ, а в опенвпн сними ее
таким образом у тебя не будет подниматься дефолт-маршрут при просто подключении к сети, а если тыкнешь на опенвпн, то он(дефолт-маршрут) появится, ну и умрет, при потере соеднинения с опенвпн хостом

быстро и наколеночно

У нас один и тот же НМ? Ничего такого не вижу. http://i.imgur.com/pS9HpN0.png

вкладка ipv4 address, внизу кнопка про routes

У меня с галкой в настройках основной сети не работает в том числе и vpn.

Действительно, с помощью iptables можно было бы легко настроить такое, если бы у впн-серверов были фиксированные айпишники, но там адреса вида gw1.country.domain.com. Так что надо либо разрешить запросы к dns серверу на эти определенные домен, и после этого разрешать доступ к полученным ip-адресам, либо придумывать что-то еще.

маршрут к VPN-серверу пропиши

Пацаны, а у меня смежный вопрос: никак нельзя ли сделать что-то типа такого: трафик от программы А идёт на интерфейс eth0, а трафик от программы Б идёт на интерфейс eth1 ? И если интерфейса нету в какой-то момент, то тогда трафик, который должен идти на него, вообще никуда не пойдёт. Ведь iptables же такое не реализуешь? То есть, наверное, по портам можно попробовать, но это если порт всегда постоянный. А если софтина его меняет?

google://iptables owner based routing

Спасибо, гляну.

Слушай, я, может, туплю, но там, вроде как, по uid процесса фильтруется, как я понял. Это не совсем то, можно, конечно, от разных юзеров запускать, но неужели нельзя такую простую вещь, как, например, по пути к исполняемому файлу?

Не вижу ничего сложного, но если так хочется, можно поставить setuid/setgid биты: https://en.wikipedia.org/wiki/Setuid#setuid_on_executables

Спасибо. Посмотрю.

Кстати, у меня лично была такая проблема (не знаю, как там в KDE, а в гном 3 была): если нетворкманагер рулит соединением ВПН, то сеть отваливается рандомно - может неделю провисеть и отвалится.

Такое есть только если соединение «обрабатывает» нетворкменджер, если запускать просто openvpn из консоли, такого нет. Ну плюс тайм-аут при айдле есть на самом сервере минут в 15, но это решается кроном и пингом.