Iptable come vpn killswitch ma accesso alla rete interna

Question

Iptable come vpn killswitch ma accesso alla rete interna

#1 da (1 voti)

0

attualmente sto usando iptables come kill-switch per la mia connessione VPN. Quindi ho solo una regola: %codice% tutto il resto è accettato.

Ora il problema è che in realtà voglio accedere ad altri computer nella mia rete interna che gira sull'interfaccia eth0 ma voglio comunque avere un tipo di commutatore di tipo VPN per uccidere ...

Ho già provato alcune cose, ma visto che non sono un professionista del networking sono praticamente bloccato qui.

Apprezzo ogni tipo di aiuto. Cheers!

network vpn openvpn iptables

posta Pen Protex 05.01.2017 - 21:17

fonte

1 risposta

Leggi altre domande sui tag network vpn openvpn iptables

GRC Shields Up test: le porte stealth sono buone? Gli hacker possono rubare denaro dal mio PayPal se un negozio web è compromesso?

score 1 · Answer 1

Ho avuto lo stesso problema e un paio di simili, quindi ecco la mia catena completa di iptables OUTPUT che è tutto ciò che uso e dovrebbe risolvere il tuo problema e poi alcuni.

-A OUTPUT -d 192.168.1.0/24 -j ACCEPT
-A OUTPUT -o lo -m owner --uid-owner 110 -j ACCEPT
-A OUTPUT ! -o tun+ -m owner --uid-owner 110 -j DROP

Ecco cosa sta facendo tutto questo:

-A OUTPUT -d 192.168.1.0/24 -j ACCEPT

Questo comando consente tutto il traffico sulla rete locale. Il parametro -d fa sì che la regola si applichi a tutto il traffico diretto all'ip di destinazione. Cambia 192.168.1 nelle prime tre parti dell'indirizzo IP della tua rete locale. Ad esempio, se gli intervalli IP della rete locale vanno da 15.15.15.0 a 15.15.15.255 , modifica tale linea in

-A OUTPUT -d 15.15.15.0/24 -j ACCEPT

Il .0/24 alla fine includerà tutti gli indirizzi IP su quella rete.

-A OUTPUT -o lo -m owner --uid-owner 110 -j ACCEPT

Ciò consente ai programmi locali sul tuo computer di comunicare tra loro. Questo mi causava problemi, quindi pensavo di includerlo. In particolare uno dei miei programmi aveva bisogno di questo per funzionare con il client VPN.

-A OUTPUT ! -o tun+ -m owner --uid-owner 110 -j DROP

Questi due comandi rilasciano tutti i pacchetti in uscita che non escono da una connessione tun. Nel tuo uso eth0 anziché tun+ . Hai testato se funziona davvero come un kill switch? Non penso che dovrebbe perché quando la tua connessione VPN fallisce, eth0 dovrebbe rimanere.

Affinché questo funzioni, l'ordine è importante. Se i comandi di accettazione non sono i primi, verranno bloccati dai comandi di rilascio.