Pull to refresh

Comments 9

Спасибо большое, очень грамотное замечание. Но всётаки не все юзеры скажем тогоже пингвинёнка понимают как работает маршрутизация, так что даже жёлтые новости будут им полезны.
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s <my-vpn-server-ip-address> -p udp -m udp --sport <vpn-server-port> -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

спасет отца русской демократии от утечек. Параноикам можно также закрыть все исходящие соединения, кроме отправки пакетов на VPN-сервер.
Но также, к сожалению, ломает и входящие соединения внутри локальной сети, например, что совсем не подходит для большинства пользователей.
Так-то, в линуксе с этим успешно справляется firewalld. Классная штука, делит сетевые интерфейсы на зоны, как в Windows. Можно задать wi-fi-интерфейсу зону public, и по умолчанию все входящие соединения будут блокированы, а домашней сети назначить зону home. Причем зоны назначаются на каждое подключение через networkmanager, очень удобно.
Если:
1. клиент за NAT-ом
2. офис натится в ВПН
то «уязвимость» не должна работать, верно?

1. Если у вышестоящего роутера UPnP, и провайдер выдает роутеру маршрутизируемый адрес, то сработает.
2. Не сработает, вернее, не имеет смысла.
Кстати, вышел OpenVPN 2.3.9 с многочисленными исправлениями Windows-ошибок и долгожданной опцией --block-outside-dns, которая исправляет утечки DNS на Windows 8.1 и 10.

Опцию можно просто в конфиг прописать? Точнее конфиг после этого останется кроссплатформенным, т.е. будет всё так же импортироваться в Android, молча работать на Windows младше 8.1 и в поведении Linux тоже ничего не изменится?
Нет, конфиг не останется кроссплатформенным — другие платформы будут сообщать о незнакомой им опции.
Чтобы это работало так, как вы хотите, нужно либо посылать опцию с сервера (в этом случае клиенты игнорируют незнакомые опции), либо в клиентском конфиге использовать конструкцию с setenv opt:
setenv opt block-outside-dns

Либо с ignore-unknown-option:
ignore-unknown-option block-outside-dns
block-outside-dns

Я бы использовал версию с setenv, т.к. она поддерживается старыми клиентами, в отличие от ignore-unknown-option.
Благодарю, тогда просто в конфиг сервера внесу, об этой возможности я даже не подумал.
Sign up to leave a comment.

Articles