Как оборвать сеть если ВПН вдруг потерял коннект? (KillSwitch)

Совсем радикально: sudo rmmod модуль_твоей_карты(wi-fi etc)

Проще: ifconfig интерфейс down

Удаление модуля позволяет не заботиться о том, что network-manager или еще кто-то автоматом восстановит соединение.

спасибо, я пожалуй возьму радикальный способ.

как правильно прописать его? я за линуксом первый день

вот моя интернет карта из lspci | egrep -i --color 'network|ethernet'

00:03.0 Ethernet controller: Intel Corporation 82540EM Gigabit Ethernet Controller (rev 02)

Хотя вот здесь я что-то нашел, но не понялчто openvpn. Действие в случае разрыва

persist-run - как использовать?

Где-то мне попадался простенький скрипт на bash, выводящий список сетевых устройств и какими модулями какое из них обслуживается. К сожалению, не могу найти.

Возможно это модуль e1000e у вас. Тогда полное вырубание интернета - это rmmod e1000e (или modprobe -r e1000e)

Снова включить модуль -это insmod e1000e (или modprobe e1000e) Но надо будет заново вызывать настройки сети.

спасибо, нашел - это e1000. подрубил впн, набрал rmmod e1000 и ... сеть вырубилась ... ну, впрочем этого я и ожидал

но как это автоматизировать?) чтобы когда впн обрывается то выполнялось rmmod e1000?

либо как использовать persist-run ?

все киллсвичи что я видел привязаны к конкретному IP VPN. а что если VPN серверов в базе больше сотни?

какой Killswitch тогда реализовать? iptables явно не вариант

решение найдено: идеальный killswitch:

https://thetinhat.com/tutorials/misc/linux-vpn-drop-protection-firewall.html

вот только он что-то уже не работает как надо... =\\

первый раз заработал. я запустил пинг, законнектил впн, врубил фаервол, пинг продолжился.

сейчас же коннекчу впн, запускаю фаервол - пинг останавливается, коннекта нет. что я делаю не так?(

вы тут оба упоролись что ли, какая еще выгрузка модуля? через таблицу маршрутов:

1. Удаляешь дефолтный маршрут.

2. Прописываешь маршрут до впн сервера.

3. profit

Да и научись пользоваться поиском.

lspci -ks 0:3
покажет ее драйвер и модуль.

Кури man по iptables. Разрешаешь через eth/wlan интерфейс хождение пакетов только для openvpn, остальной трафик пускаешь по tun интерфейсу.

я уже вышеписал что iptables не подходит когда у тебя больше десятка VPN

больше десятка VPN

man ipset

а чем плох тот способ что по ссылке был? через фаервол?

#!/bin/bash

sudo ufw reset
sudo ufw default deny incoming
sudo ufw default deny outgoing
sudo ufw allow out on tun0 from any to any
sudo ufw enable

по идее он должен работать,

1.подключаешь впн

2.запускаешь фаервол

3. при разрыве трафик не пройдёт.

подключаешь впн

На следующем шаге - пока ты собирался запустить свой чудо скрипт. Произошел обрыв связи и твой заветный 1 байт. Покинул твой хост.

ну это не проблема...

на следующем шаге кроме впн и не запущено ничего, если оборвется то все ок

просто я не понимаю твой способ, второй день за линуксом :(

через что сеть настроена - Network-manager?

Ethernet controller: Intel Corporation 82540EM Gigabit Ethernet Controller (rev 02) Subsystem: Intel Corporation PRO/1000 MT Desktop Adapter Kernel driver in use: e1000 Kernel modules: e1000

это?

это?

Нет. Сеть как конфигурируется через /etc/network/interfaces . Или Network-manager установлен?

http://help.ubuntu.ru/wiki/network_manager

в /etc/network/interfaces ничего нету..

source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback

сеть мостом через virtualbox проброшена вроде как https://i.snag.gy/1A9MtW.jpg

я не знаю что это за менеджер, там нету сведений... стандартный от kali linux

Тебе нужен 1 канал через сетевую карту к vpn-серверу, а это скрипт режет все входящие/исходящие соединения, по логике у тебя коннект прервется с vpn(хотя хрен знает, что там в ufw напилили).

да не, не прерывается, коннект остается по tun0

ведь tun0 это vpn соединение в ifconfig

log4tmp, спасибо!

как быть если я к другому vpn подключаюсь?

каждый раз прописывать заново ip vpn?

Да. Можешь в ipset таблицу создать со списком, если у тебя несколько сереров между которыми переключаешься.

Хотя, я тебе немного недосказал.
1. Делаешь маршрут для vpn через eth/wlan
2. Настраиваешь vpn, который при подключении становится default route
3. Настраиваешь fw, который пропускает через обычный интерфейс трафик только до vpn

[img]https://i.ytimg.com/vi/RLLt53864qU/hqdefault.jpg[/img]

постараюсь разобраться :D

Прочитал эту тему.
Места достойные нашёл.

И пришел к выводу - решения проблемы не существует.
Потому что решение требуется на уровне кернела, а не примочек и файрволов.

Iptables, лол. Более надежного метода не знаю. Если надо правила - спрашивай, скину. Только это в случае если ip сервера известен - или самому тебе придётся скрипт для его получения писать, если он заранее неизвестен

Только это не прервать, а просто не дать пакетам на другой ип уйти

файрвол же в кернеле

Ты в линуксе можешь трафик роутить в зависимости от пользователя и даже от конкретного процесса. Можешь своему впн-клиенту дать доступ и инет, а остальному - срезать. И хоть 1000 впн-серверов. Подобное только для tor можно подсмотреть в anonserf-e от дистрибутива parrot. Если тебе нужна такая безопасность, то посмотри на профильные дистрибутивы. Я рекомендую whonix.

А как ты собираешься восстанавливать соединение если твой VPN сервер вернется в строй ? Вручную ? IMHO проще настроить подключение через прокси - т е настраиваешь прокси на VPS. Нет прокси - нет интернета

Да, разделяй и влавствуй!
Кернел - исполнительный орган, ufw вышеупомянутый - rules/законодательный.

> Ты в линуксе можешь трафик роутить в зависимости от пользователя и даже от конкретного процесса.
> Ты

Когда в дискуссии анонимусы переходят на личности диспутантов.
Покажи пример такого iptable rule(s) - with process pid involved, анонимный доброжелатель.