>официальный OpenVPN клиент
Если он не крашится (а при человеческой настройке не крашится никогда), то можно не добавлять никаких правил, в дефолтной конфигурации весь трафик пойдёт через VPN-сервер. При переподключении/падении сервера/отсутствии интернета просто будет пытаться подключиться, не пропуская никакой трафик, потому что маршруты останутся. Только persist-key и persist-tun в конфиг напиши.
Если хочешь большей надёжности, можешь реализовать то, что запросил в посте. https://habr.com/post/274445/
Я накостылил скрипт, котоый парсит конфиг опенвпн, настраивает фаервол + днс в системе. Пока не выложил на гитхаб.
Конфиг в общем случае должен выглядеть как-то так
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -d 123.123.123.123 -j ACCEPT
COMMIT
Запретить все.
Разрешить предварительно установленные входящие соединения.
Разрешить все исходящие через tun0 (интерфейс OpenVPN).
Разрешить исходящие на ip впна.
У такой схемы есть минусы, но она самая простая.
>В linux полный ноль, поэтому, предпочтительнее настраивать через какой-ниюдь gui-firewall. Какой самый надежный (без багов) и удобный?
На ум только федоркина шляпа приходит вроде фаервол-д зовется. А так айпитайблс, но там не на час и даже не на день изучения и все через консольку. Прибавь сюда еще баш-скриптинг. Вообщем звание красноглазика тебе будет обеспечено. Лучше соседку выебать
>Задача: полностью исключить любые утечки трафика в обход VPN (официальный OpenVPN клиент), в том числе те, которые могут произойти во время переподключения роутера / сетевого или wlan адаптера или каких-либо технических проблем, вызванных самой ОС или установленным софтом. Включая TCP, UDP, DNS и любые другие протоколы. Всё должно идти через VPN.
>
>То есть нужно настроить firewall таким образом, чтобы прямой доступ в сеть был заблокирован.
Это делается не через firewall, а через network namespaces, если не хочешь каждый раз сидеть и трястись.
Спасибо за инфу. Хотел уже настраивать по этому гайду – https://habr.com/post/274445/, но этот анон заставил усомниться.
Знающие, поясните, чем виртуализация netns надежнее обычной настройки файрвола?
Люто плюсую netns: http://man7.org/linux/man-pages/man8/ip-netns.8.html
А вообще, разве нельзя всё это дело настроить просто выставив ip route?
>виртуализация netns
Такого нету. Есть просто netns — network namespace.
По надёжности разницы нету, обоим нужен рут для настройки и оба работают в ядерном пространстве.
А вообще, разве нельзя всё это дело настроить просто выставив ip route?
>виртуализация netns
Такого нету. Есть просто netns — network namespace.
По надёжности разницы нету, обоим нужен рут для настройки и оба работают в ядерном пространстве.
>Знающие, поясните, чем виртуализация netns надежнее обычной настройки файрвола?
Как минимум тем, что у тебя меньше возможностей накосячить в процессе настройки, запутаться с маршрутизацией, что-то забыть, etc. Нужные тебе приложения по сути запускаются со своей копией сетевого стека и не видят основной сети. Весь траффик либо идет туда, куда ты его завернул (в твой VPN), либо не идет вообще никуда, если ты сам налажал или что-то не стартануло, напримет тот же firewall.
>Задача: полностью исключить любые утечки трафика в обход VPN
ФИЗИЧЕСКАЯ ИЗОЛЯЦИЯ
Х
У
Н
И
К
С
бумп
bump
#Allow loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Allow local traffic
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT
#Allow VPN
iptables -A OUTPUT -d vpn_ip -j ACCEPT
iptables -A INPUT -s vpn_ip -j ACCEPT
#Accept TUN
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
#Set default policies to drop all
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Затем поставь iptables-persistent
bump
pryvoxy
В файле указываешь данные для коннекта+авторизации на хосте.
А так, выше послветовали whonix.
Можешь tails погонять.
В файле указываешь данные для коннекта+авторизации на хосте.
А так, выше послветовали whonix.
Можешь tails погонять.
Опенвпн сам пустит траффик через впн. Но, можешь напердолить себе файерволл в iptables, чтобы, например, при дисконнекте опенвпна, у тебя вообще интернет отрубался. Ну и всякие примочки, типа того, что тебя не смогут просканировать на открытые порты - идут в комплекте. Покури маны по iptables, там не так всё сложно. Ну и готовые конфиги, я уверен, уже есть в сети.
Насчёт днс, ставь dnscrypt и используй cloudflare в качестве днс-сервера.
Насчёт утечек ip, webrtc - твой худший кошмар. Пердоль user.js для лисицы. Возьми готовый с гитхаба ghacks и сделой под себя, там каждая строка сопровождена описанием и ссылками, так что разберёшься.
Если прям не хочешь ебаться, то в ublock есть галка на это дело, но лучше всё таки конфиг чекни, там много вкусностей для лисы имеется
Ну и логиниться в социальных сеточках всевозможных под тем же акком, который был у тебя до впна - строго запрещено. И не только в сеточках, но и вообще везде. Создавай новые акки, заходи в них только через впн.
Вроде, всё.
up
Чего бампаешь-то? Уже несколько способов в треде, что ещё нужно?
пук
Задача: полностью исключить любые утечки трафика в обход VPN (официальный OpenVPN клиент), в том числе те, которые могут произойти во время переподключения роутера / сетевого или wlan адаптера или каких-либо технических проблем, вызванных самой ОС или установленным софтом. Включая TCP, UDP, DNS и любые другие протоколы. Всё должно идти через VPN.
То есть нужно настроить firewall таким образом, чтобы прямой доступ в сеть был заблокирован.
Подскажите, пожалуйста как это можно реализовать. В linux полный ноль, поэтому, предпочтительнее настраивать через какой-ниюдь gui-firewall. Какой самый надежный (без багов) и удобный? Как правильно добавить правила для блокировки трафика?
Настроить VPN на роутере не вариант, т.к. ноут буду юзать не только дома.