как предотвратить утечку трафика при обрыве впна

lomax	# 13 лет, 8 месяцев назад
Темы: 8 Сообщения: 33 Участник с: 30 декабря 2008	как предотвратить утечку трафика при обрыве впна? нужно писать скрипт или можно обойтись настройками в firewall'e (iptables)?

Natrio	# 13 лет, 8 месяцев назад
Темы: 48 Сообщения: 4771 Участник с: 08 января 2011	“Утечкой траффика” обычно называют сетевую активность в системе/сети, источник которой пока не найден или бесконтролен. Пока не очень понятно, куда может “утекать” траффик при разъединении VPN. Что конкретно вы называете утечкой траффика?

Natrio

# 13 лет, 8 месяцев назад

Темы: 48

Сообщения: 4771

Участник с: 08 января 2011

“Утечкой траффика” обычно называют сетевую активность в системе/сети, источник которой пока не найден или бесконтролен.
Пока не очень понятно, куда может “утекать” траффик при разъединении VPN.
Что конкретно вы называете утечкой траффика?

lomax	# 13 лет, 8 месяцев назад
Темы: 8 Сообщения: 33 Участник с: 30 декабря 2008	ну сидишь в интернете через впн (торенты.. и так далее) пошел погулять к примеру, и пока ты гулял упал сервак впн к которому ты был подсоединен. в итоге раздачи торентов ведется уже с твоим реальным аипи.

domov0y	# 13 лет, 8 месяцев назад
Темы: 5 Сообщения: 819 Участник с: 09 июля 2011	Т.е. подразумевается что вы входите в интернет а потом включаете vpn и через него уже работаете. Наверное я вас обрадую. Все, что шло через vpn в виде одного установленного соединения tcp или udp (im, качалки, телнет клиенты и прочие подобные) успешно “схлопнется” и не будет пытаться восстановить соединение. Если только в настройках или обертках не прописано иное. И если только вы не работаете через гейт подключенный одновременно к нескольким каналам в интернет- и как следствие динамически переключающий маршруты в случае физического обрыва связи. А все, что вы параноидально раздаете/берете через vpn (типа торрентов и прочее ) можно банально убить правилом фаерволла. просто создаете правило гласящее, что ничто кроме vpn не должно работать через сетевое подключение. ну или сверлите дыры в стене по вкусу. Да пребудет с вами знание ip адреса

domov0y

# 13 лет, 8 месяцев назад

Темы: 5

Сообщения: 819

Участник с: 09 июля 2011

Т.е. подразумевается что вы входите в интернет а потом включаете vpn и через него уже работаете.

Наверное я вас обрадую. Все, что шло через vpn в виде одного установленного соединения tcp или udp (im, качалки, телнет клиенты и прочие подобные) успешно “схлопнется” и не будет пытаться восстановить соединение. Если только в настройках или обертках не прописано иное. И если только вы не работаете через гейт подключенный одновременно к нескольким каналам в интернет- и как следствие динамически переключающий маршруты в случае физического обрыва связи.

А все, что вы параноидально раздаете/берете через vpn (типа торрентов и прочее ) можно банально убить правилом фаерволла. просто создаете правило гласящее, что ничто кроме vpn не должно работать через сетевое подключение. ну или сверлите дыры в стене по вкусу.

Да пребудет с вами знание ip адреса

lomax	# 13 лет, 8 месяцев назад
Темы: 8 Сообщения: 33 Участник с: 30 декабря 2008	вот это меня кок рас и интересует. будут ли работать программы через впн (скажем тот же торрент) если я в иптабле разрешу выход в интернет только впн. (оставлю открытым его порт.) просто мне почему-то казалось что система такая интернет <-> сетевуха <-> впн <-> иптабле <-> программы (к примеру торрент) и иптабле блокирует весь трафик. \ а получается интернет <-> сетевуха <-> иптабле <-> впн <-> программы (к примеру торрент) так?

lomax

# 13 лет, 8 месяцев назад

Темы: 8

Сообщения: 33

Участник с: 30 декабря 2008

вот это меня кок рас и интересует.

будут ли работать программы через впн (скажем тот же торрент)
если я в иптабле разрешу выход в интернет только впн. (оставлю открытым его порт.)

просто мне почему-то казалось что система такая
интернет <-> сетевуха <-> впн <-> иптабле <-> программы (к примеру торрент)
и иптабле блокирует весь трафик. \

а получается
интернет <-> сетевуха <-> иптабле <-> впн <-> программы (к примеру торрент)
так?

domov0y	# 13 лет, 8 месяцев назад (отредактировано 13 лет, 8 месяцев назад)
Темы: 5 Сообщения: 819 Участник с: 09 июля 2011	Нет. 1 запрещаете весь трафик (кроме днс, и того что связано с организацией vpn) на eth0. 2. организуете vpn 3. указываете в фаерволе что ЧЕРЕЗ ИНТЕРФЕЙС СВЯЗАННЫЙ С VPN МОЖЕТ ИДТИ ЛЮБОЙ ТРАФИК и все работает через vpn. upd: а вообще не стоит путать теплое с жидким. Если на пальцах то: iptables это программа для управления сетевым фильтром встроеным в ядро. подробности в man iptables vpn-семейство протоколов позволяющих создать виртуальный канал между двумя и более машинами поверх существующих каналов связи. Да пребудет с вами знание ip адреса

domov0y

# 13 лет, 8 месяцев назад (отредактировано 13 лет, 8 месяцев назад)

Темы: 5

Сообщения: 819

Участник с: 09 июля 2011

Нет.
1 запрещаете весь трафик (кроме днс, и того что связано с организацией vpn) на eth0.
2. организуете vpn
3. указываете в фаерволе что ЧЕРЕЗ ИНТЕРФЕЙС СВЯЗАННЫЙ С VPN МОЖЕТ ИДТИ ЛЮБОЙ ТРАФИК

и все работает через vpn.
upd: а вообще не стоит путать теплое с жидким. Если на пальцах то: iptables это программа для управления сетевым фильтром встроеным в ядро. подробности в man iptables
vpn-семейство протоколов позволяющих создать виртуальный канал между двумя и более машинами поверх существующих каналов связи.

Да пребудет с вами знание ip адреса

lomax	# 13 лет, 8 месяцев назад
Темы: 8 Сообщения: 33 Участник с: 30 декабря 2008	значит после подключения к впн, просто пускать весь трафик на “tap0” а с eth0 разрешить выход в интернет?

domov0y	# 13 лет, 8 месяцев назад
Темы: 5 Сообщения: 819 Участник с: 09 июля 2011	кто вам запрещает проверить то что написано? Да пребудет с вами знание ip адреса

lomax	# 13 лет, 8 месяцев назад
Темы: 8 Сообщения: 33 Участник с: 30 декабря 2008	ну просто хотел убедится. чтоб лишнее не читать про настройки иптабле

Natrio	# 13 лет, 8 месяцев назад
Темы: 48 Сообщения: 4771 Участник с: 08 января 2011	lomax значит после подключения к впн, просто пускать весь трафик на “tap0” а с eth0 разрешить выход в интернет? Нет. Вам нужно через “прямой” интерфейс разрешить исходящее подключение ТОЛЬКО к серверу VPN, и запретить все новые входящие, а для туннеля разрешить все исходящие. Но это сложно, потому что через сад :) Самое простое – убрать к чертям дефолтный роут на eth0, заменить его специальным роутом, только к серверу VPN и больше никуда. В этом случае при исчезновении туннеля, у вас будет исчезать ЕДИНСТВЕННЫЙ роут в интернет, и оставаться только роут до сервера. Насколько я понимаю, сейчас у вас существуют два дефолтных роута – один через eth0 с большей метрикой, другой через tap0 с меньшей. А раз вы их так подробно настраивали, значит и переделать будет несложно. Выкинуть метрики, убрать дефолтный роут на eth0. Надеюсь, роут на VPN-сервер у вас уже есть?

Natrio

# 13 лет, 8 месяцев назад

Темы: 48

Сообщения: 4771

Участник с: 08 января 2011

lomax
значит после подключения к впн, просто пускать весь трафик на “tap0” а с eth0 разрешить выход в интернет?

Нет. Вам нужно через “прямой” интерфейс разрешить исходящее подключение ТОЛЬКО к серверу VPN, и запретить все новые входящие, а для туннеля разрешить все исходящие.
Но это сложно, потому что через сад :)

Самое простое – убрать к чертям дефолтный роут на eth0, заменить его специальным роутом, только к серверу VPN и больше никуда. В этом случае при исчезновении туннеля, у вас будет исчезать ЕДИНСТВЕННЫЙ роут в интернет, и оставаться только роут до сервера.
Насколько я понимаю, сейчас у вас существуют два дефолтных роута – один через eth0 с большей метрикой, другой через tap0 с меньшей. А раз вы их так подробно настраивали, значит и переделать будет несложно. Выкинуть метрики, убрать дефолтный роут на eth0. Надеюсь, роут на VPN-сервер у вас уже есть?