Io uso Ubuntu. Le uniche app che ho sono firefox e telegram, entrambe scaricate attraverso i canali ufficiali. Io uso altre app con la virtualizzazione, quindi la mia macchina principale è per lo più pulita.
Io uso una VPN quindi tutto va attraverso un'interfaccia tun
. Ecco il mio output route -n
:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.8.1 0.0.0.0 UG 50 0 0 tun0
0.0.0.0 192.168.25.1 0.0.0.0 UG 600 0 0 wlp1s0
10.8.8.0 0.0.0.0 255.255.255.0 U 50 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 virbr0
192.168.25.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp1s0
192.168.25.1 0.0.0.0 255.255.255.255 UH 600 0 0 wlp1s0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
195.181.167.147 192.168.25.1 255.255.255.255 UGH 600 0 0 wlp1s0
Ho notato questo strano IP 195.181.167.147
che si collega direttamente attraverso il mio gateway, bypassando così la mia VPN. Gli altri bypass sono stati creati da me usando ufw: ho aggiunto i bypass a 192.168.25.0/24
in modo da poter accedere alla mia rete locale
Non so come sia arrivato, ma ho avuto un cron job che bypassa il proton VPN per un IP dinamico, che è dato da un nome di dominio:
#!/bin/bash
HOSTNAME=my.domain.com
LOGFILE=$HOME/ufw$HOSTNAME.log
Current_IP=$(host $HOSTNAME | head -n1 | cut -f4 -d ' ')
if [ ! -f $LOGFILE ]; then
/usr/sbin/ufw allow from any to $Current_IP port 1194 proto udp
echo $Current_IP > $LOGFILE
else
Old_IP=$(cat $LOGFILE)
if [ "$Current_IP" = "$Old_IP" ] ; then
echo IP address has not changed
else
/usr/sbin/ufw delete allow from any to $Old_IP port 1194 proto udp
/usr/sbin/ufw allow from any to $Current_IP port 1194 proto udp
echo $Current_IP > $LOGFILE
echo iptables have been updated
fi
fi
Pensavo che lo strano IP avesse qualcosa a che fare con questo lavoro cron. Ma non penso che my.domain.com
abbia mai avuto questo IP. Non penso nemmeno che questo lavoro di cron altera le rotte. E penso anche che non so nemmeno cosa stia facendo questo cron job che sto migliorando.
Una semplice ricerca su google su questo IP dà un risultato di un utente su reddit parlando di Proton VPN, che è il provider VPN che uso. Ma il post è finito adesso.
Qualcuno ha idea di cosa sta succedendo?
UPDATE:
ecco la cache di reddit: link
Inoltre non ho installato nulla da VPN proton, uso solo VPN aperte con i file di configurazione VPN proton