LINUX.ORG.RU
ФорумSecurity

Настроить iptables – запретить весь трафик в обход OpenVPN

 , , ,


3

5

Нужно качественно настроить подключение к OpenVPN чтобы при обрыве соединения трафик не шел мимо (т.е. запретить весь трафик в обход впн). Чтобы при старте системы CentOS 6 правила прописывались в iptables (и были там постоянно) и запускалось соединение с впн. IP адрес впн для сервера 123.123.123.123 порт 1234 покдлючение udp. Так же нужно исключить DNS Leak в обход впн и прочие протоколы.

Ну вот, фронт работ очерчен, можешь приступать.

thesis ★★★★★
()

Хорошая идея кстати, использовать ЛОР как тикетку для своих тасков.
Маладца!

v9lij ★★★★★
()

После поднятия VPN в таблицу маршрутизации добавляешь маршрут до VPN сервера через шлюз, затем удаляешь из таблицы маршрутизации маршрут по умолчанию, т.е. шлюз, после чего маршрут по умолчанию прокладываешь через VPN сервер. Готово, всё идёт через VPN тунель.

kostik87 ★★★★★
() 
iptables -P OUTPUT DROP
iptables -A OUTPUT -d  123.123.123.123/32 -p udp -m udp --dport 1234 -j ACCEPT

ну и т.д. и т.п =)

ving2
()

Нужно качественно настроить

$100/час.

anonymous
()

исключить DNS Leak в обход впн и прочие протоколы.

сам то интересно понял что сказал, что это за прочие протоколы?

ving2
()

Имхается мне, что тут, хотя и не обязателен, но очень желателен отдельный роутер на котором и настроить всю маршрутизацию. Тогда даже если там что-то слетит, из сетки данные в обход vpn не должны пойти.

praseodim ★★★★★
() 
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

# Разрешаем локалхост
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# Разрешаем локалку, опционально
-A INPUT -d 192.168.0.0/16 -j ACCEPT
-A OUTPUT -d 192.168.0.0/16 -j ACCEPT

# Разрешаем ходить на VPN
-A OUTPUT -d 123.123.123.123/32 -p udp -j ACCEPT
-A OUTPUT -o tun+ -j ACCEPT

COMMIT

Мопед не мой, брал из блога кого-то из лоровцев, кого - забыл. Довольно успешно использовал, но за правильность (часть дополнил по памяти) и безопасность поручиться не могу.

fludardes ★★
()
Ответ на: комментарий от fludardes

за правильность (часть дополнил по памяти) и безопасность поручиться не могу.

Да особенно если из локалки кто нибудь постучит. А где ответы на установленные соединения?

https://github.com/piratelinux/VPN-Firewall/blob/master/usr/bin/vpnfirewall

ving2
()
Ответ на: комментарий от fludardes

Всем привет. Лопатил инэт на 'iptables для начинающих', но то что нашел чересчур тяжело для меня. Как мне разрешить uid'u выход в инэт при любых условиях, несмотря на баги/обрывы vpn(у меня при обрыве впн соединения никто не может выйти в интернет)

newphonebass
()
Ответ на: комментарий от newphonebass

Либо разрешить ip при любых условиях, к которым он обращается.

newphonebass
()
Ответ на: комментарий от newphonebass

Как мне разрешить uid'u выход в инэт при любых условиях
у меня при обрыве впн соединения никто не может выйти в интернет

Так что нужно не понятно? В любом случае при обрыве канала впн, будет восстанавливаться это соединение. Чтобы был инет при обрыве канала надо в сторону маршрутов смотреть. Надо чтобы дефолтный маршрут был на месте.

Либо разрешить ip при любых условиях, к которым он обращается.

А это что значит? Кто обращается - впн клиент? Грамматно поставленный вопрос - это уже половина ответа.

ving2
()
Ответ на: комментарий от ving2

1.Нужно чтобы при любых условиях, есть установленное впн соединения, нет его, определеный uid имел возможность выхода в сеть. 2. >кто обращается... Uid

newphonebass
()
Ответ на: комментарий от newphonebass

Приложение тоесть.

все понятно, что надо. Только вот как реализовать, думать надо. Но в любом случае нужно чтоб дефолтный маршрут, через провайдера (не впн) был открыт. А вот как отправить конкретное приложение поэтому маршруту, я не вкурсе.

ving2
()
Ответ на: комментарий от newphonebass

Создай отдельный тред по своему вопросу.

ving2
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security