Этого треда уже нет.
Это копия, сохраненная 30 июня 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 30 июня 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
872 Кб, 763x1073Переезжаю с Wind♿ws 7 на ♿Убунтупарашу (точнее, ОС♿ основана на ней).
Задача: полностью исключить любые утечки трафика в обход VPN (официальный OpenVPN клиент), в том числе те, которые могут произойти во время переподключения роутера / сетевого или wlan адаптера или каких-либо технических проблем, вызванных самой ОС или установленным софтом. Включая TCP, UDP, DNS и любые другие протоколы. Всё должно идти через VPN.
То есть нужно настроить firewall таким образом, чтобы прямой доступ в сеть был заблокирован.
Подскажите, пожалуйста как это можно реализовать. В linux полный ноль, поэтому, предпочтительнее настраивать через какой-ниюдь gui-firewall. Какой самый надежный (без багов) и удобный? Как правильно добавить правила для блокировки трафика?
Настроить VPN на роутере не вариант, т.к. ноут буду юзать не только дома.
Задача: полностью исключить любые утечки трафика в обход VPN (официальный OpenVPN клиент), в том числе те, которые могут произойти во время переподключения роутера / сетевого или wlan адаптера или каких-либо технических проблем, вызванных самой ОС или установленным софтом. Включая TCP, UDP, DNS и любые другие протоколы. Всё должно идти через VPN.
То есть нужно настроить firewall таким образом, чтобы прямой доступ в сеть был заблокирован.
Подскажите, пожалуйста как это можно реализовать. В linux полный ноль, поэтому, предпочтительнее настраивать через какой-ниюдь gui-firewall. Какой самый надежный (без багов) и удобный? Как правильно добавить правила для блокировки трафика?
Настроить VPN на роутере не вариант, т.к. ноут буду юзать не только дома.
>>05940 (OP)
Если он не крашится (а при человеческой настройке не крашится никогда), то можно не добавлять никаких правил, в дефолтной конфигурации весь трафик пойдёт через VPN-сервер. При переподключении/падении сервера/отсутствии интернета просто будет пытаться подключиться, не пропуская никакой трафик, потому что маршруты останутся. Только persist-key и persist-tun в конфиг напиши.
Если хочешь большей надёжности, можешь реализовать то, что запросил в посте. https://habr.com/post/274445/
>официальный OpenVPN клиент
Если он не крашится (а при человеческой настройке не крашится никогда), то можно не добавлять никаких правил, в дефолтной конфигурации весь трафик пойдёт через VPN-сервер. При переподключении/падении сервера/отсутствии интернета просто будет пытаться подключиться, не пропуская никакой трафик, потому что маршруты останутся. Только persist-key и persist-tun в конфиг напиши.
Если хочешь большей надёжности, можешь реализовать то, что запросил в посте. https://habr.com/post/274445/
>>05940 (OP)
Я накостылил скрипт, котоый парсит конфиг опенвпн, настраивает фаервол + днс в системе. Пока не выложил на гитхаб.
Конфиг в общем случае должен выглядеть как-то так
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -d 123.123.123.123 -j ACCEPT
COMMIT
Запретить все.
Разрешить предварительно установленные входящие соединения.
Разрешить все исходящие через tun0 (интерфейс OpenVPN).
Разрешить исходящие на ip впна.
У такой схемы есть минусы, но она самая простая.
Я накостылил скрипт, котоый парсит конфиг опенвпн, настраивает фаервол + днс в системе. Пока не выложил на гитхаб.
Конфиг в общем случае должен выглядеть как-то так
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -d 123.123.123.123 -j ACCEPT
COMMIT
Запретить все.
Разрешить предварительно установленные входящие соединения.
Разрешить все исходящие через tun0 (интерфейс OpenVPN).
Разрешить исходящие на ip впна.
У такой схемы есть минусы, но она самая простая.
165 Кб, 716x960>>05940 (OP)
На ум только федоркина шляпа приходит вроде фаервол-д зовется. А так айпитайблс, но там не на час и даже не на день изучения и все через консольку. Прибавь сюда еще баш-скриптинг. Вообщем звание красноглазика тебе будет обеспечено. Лучше соседку выебать
>В linux полный ноль, поэтому, предпочтительнее настраивать через какой-ниюдь gui-firewall. Какой самый надежный (без багов) и удобный?
На ум только федоркина шляпа приходит вроде фаервол-д зовется. А так айпитайблс, но там не на час и даже не на день изучения и все через консольку. Прибавь сюда еще баш-скриптинг. Вообщем звание красноглазика тебе будет обеспечено. Лучше соседку выебать
>>05940 (OP)
Это делается не через firewall, а через network namespaces, если не хочешь каждый раз сидеть и трястись.
>Задача: полностью исключить любые утечки трафика в обход VPN (официальный OpenVPN клиент), в том числе те, которые могут произойти во время переподключения роутера / сетевого или wlan адаптера или каких-либо технических проблем, вызванных самой ОС или установленным софтом. Включая TCP, UDP, DNS и любые другие протоколы. Всё должно идти через VPN.
>
>То есть нужно настроить firewall таким образом, чтобы прямой доступ в сеть был заблокирован.
Это делается не через firewall, а через network namespaces, если не хочешь каждый раз сидеть и трястись.
10 Кб, 565x287Люто плюсую netns: http://man7.org/linux/man-pages/man8/ip-netns.8.html
А вообще, разве нельзя всё это дело настроить просто выставив ip route?
>>10481
Такого нету. Есть просто netns — network namespace.
По надёжности разницы нету, обоим нужен рут для настройки и оба работают в ядерном пространстве.
А вообще, разве нельзя всё это дело настроить просто выставив ip route?
>>10481
>виртуализация netns
Такого нету. Есть просто netns — network namespace.
По надёжности разницы нету, обоим нужен рут для настройки и оба работают в ядерном пространстве.
>>10481
Как минимум тем, что у тебя меньше возможностей накосячить в процессе настройки, запутаться с маршрутизацией, что-то забыть, etc. Нужные тебе приложения по сути запускаются со своей копией сетевого стека и не видят основной сети. Весь траффик либо идет туда, куда ты его завернул (в твой VPN), либо не идет вообще никуда, если ты сам налажал или что-то не стартануло, напримет тот же firewall.
>Знающие, поясните, чем виртуализация netns надежнее обычной настройки файрвола?
Как минимум тем, что у тебя меньше возможностей накосячить в процессе настройки, запутаться с маршрутизацией, что-то забыть, etc. Нужные тебе приложения по сути запускаются со своей копией сетевого стека и не видят основной сети. Весь траффик либо идет туда, куда ты его завернул (в твой VPN), либо не идет вообще никуда, если ты сам налажал или что-то не стартануло, напримет тот же firewall.
>>10715
бумп
бумп
bump
>>05940 (OP)
#Allow loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Allow local traffic
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT
#Allow VPN
iptables -A OUTPUT -d vpn_ip -j ACCEPT
iptables -A INPUT -s vpn_ip -j ACCEPT
#Accept TUN
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
#Set default policies to drop all
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Затем поставь iptables-persistent
#Allow loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Allow local traffic
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/16 -j ACCEPT
#Allow VPN
iptables -A OUTPUT -d vpn_ip -j ACCEPT
iptables -A INPUT -s vpn_ip -j ACCEPT
#Accept TUN
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
#Set default policies to drop all
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Затем поставь iptables-persistent
bump
pryvoxy
В файле указываешь данные для коннекта+авторизации на хосте.
А так, выше послветовали whonix.
Можешь tails погонять.
В файле указываешь данные для коннекта+авторизации на хосте.
А так, выше послветовали whonix.
Можешь tails погонять.
>>05940 (OP)
Опенвпн сам пустит траффик через впн. Но, можешь напердолить себе файерволл в iptables, чтобы, например, при дисконнекте опенвпна, у тебя вообще интернет отрубался. Ну и всякие примочки, типа того, что тебя не смогут просканировать на открытые порты - идут в комплекте. Покури маны по iptables, там не так всё сложно. Ну и готовые конфиги, я уверен, уже есть в сети.
Насчёт днс, ставь dnscrypt и используй cloudflare в качестве днс-сервера.
Насчёт утечек ip, webrtc - твой худший кошмар. Пердоль user.js для лисицы. Возьми готовый с гитхаба ghacks и сделой под себя, там каждая строка сопровождена описанием и ссылками, так что разберёшься.
Если прям не хочешь ебаться, то в ublock есть галка на это дело, но лучше всё таки конфиг чекни, там много вкусностей для лисы имеется
Ну и логиниться в социальных сеточках всевозможных под тем же акком, который был у тебя до впна - строго запрещено. И не только в сеточках, но и вообще везде. Создавай новые акки, заходи в них только через впн.
Вроде, всё.
Опенвпн сам пустит траффик через впн. Но, можешь напердолить себе файерволл в iptables, чтобы, например, при дисконнекте опенвпна, у тебя вообще интернет отрубался. Ну и всякие примочки, типа того, что тебя не смогут просканировать на открытые порты - идут в комплекте. Покури маны по iptables, там не так всё сложно. Ну и готовые конфиги, я уверен, уже есть в сети.
Насчёт днс, ставь dnscrypt и используй cloudflare в качестве днс-сервера.
Насчёт утечек ip, webrtc - твой худший кошмар. Пердоль user.js для лисицы. Возьми готовый с гитхаба ghacks и сделой под себя, там каждая строка сопровождена описанием и ссылками, так что разберёшься.
Если прям не хочешь ебаться, то в ublock есть галка на это дело, но лучше всё таки конфиг чекни, там много вкусностей для лисы имеется
Ну и логиниться в социальных сеточках всевозможных под тем же акком, который был у тебя до впна - строго запрещено. И не только в сеточках, но и вообще везде. Создавай новые акки, заходи в них только через впн.
Вроде, всё.
>>20209
Чего бампаешь-то? Уже несколько способов в треде, что ещё нужно?
Чего бампаешь-то? Уже несколько способов в треде, что ещё нужно?
пук
Тред утонул или удален.
Это копия, сохраненная 30 июня 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Это копия, сохраненная 30 июня 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.