Sto provando a bloccare la mia connessione Internet per motivi di privacy e mi sono registrato con un provider VPN che non esegue alcun filtraggio (completamente opposto al mio ISP). Il provider VPN supporta OpenVPN tramite UDP sulla porta 7001 per openvpn.vpnprovider.com, creando un'interfaccia tun0
con un IP pubblico dinamico.
Finora ho usato un set di regole ipfw
con Waterroof ma ho bisogno di aggiungerlo ogni volta che mi collego da una nuova LAN (cioè a casa è 10.3.2. , al lavoro 192.168.60. , dal mio bar preferito è 192.168.1. * e così via).
Esiste un set di regole più generico, più moderno (in Apple / BSD che pensa ipfw
è apparentemente deprecato) per pfctl
che
a) consente al mio Mac 10.9 di connettersi solo a openvpn.vpnprovider.com:7001
UDP
da qualsiasi IP sorgente / locale (ad esempio indipendentemente dal mio IP locale corrente, quindi non devo toccare il set di regole ogni volta che incontro / uso un nuova LAN),
b) blocca tutto il traffico tranne il traffico locale corrente (ad esempio, tutto all'interno del /24
locale può essere trasmesso e ricevuto, ad esempio per accedere alla stampante in casa o al NAS in ufficio) su tutte le interfacce fisiche in e su,
c) consente tutto il traffico Internet attraverso tun0
e
d) consente il DNS tramite i server DNS di Google?
Ecco il mio attuale set di regole che, per ragioni sconosciute, a volte mi costringe a provare a connettermi più volte fino a quando non viene stabilita una connessione OpenVPN:
add 01000 allow ip from me to 8.8.8.8,8.8.4.4 dst-port 53 keep-state
add 01500 allow udp from any 67,68 to any dst-port 67,68
add 02000 allow ip from me to me via lo*
add 03000 allow ip from 192.168.60.0/24 to any dst-port 7001-7004,1194 keep-state
add 04000 allow ip from 192.168.1.0/24 to any dst-port 7001-7004,1194 keep-state
add 05000 allow ip from 10.3.2.0/24 to any dst-port 7001-7004,1194 keep-state
add 06000 allow ip from me to 192.168.60.0/24
add 07000 allow ip from 192.168.60.0/24 to me
add 08000 allow ip from 192.168.1.0/24 to me
add 09000 allow ip from me to 10.3.2.0/24
add 10000 allow ip from 10.3.2.0/24 to me
add 12000 allow ip from any to any via tun0 keep-state
add 13000 deny log ip from any to any
add 65535 allow ip from any to any