FireWall (Linux) для VLESS (Nekoray) и с разными профилями VPN (IP, Port). Как настроить Kill Switch?

Question

[askill]

Здравствуйте уважаемые знатоки!
Такая ситуация:
Машина linux, на которjй работает VPN VLESS. В клиенте Nekoray имею множество профилей для VPN, которые, соответственно, имеют различные IP и порты для подключения к VPN.
Задача:
Настроить Kill Switch, что бы при переключение различных VPN профилей не приходилось перенастраивать FireWall и трафик не шел в обход VPN.
Я не сильный сетевик, вроде подходит решение, что бы завернуть трафик на виртуальный интерфейс, который создает Ntkoray в режиме "TUN", которые видны при команде ip a:


Но не понятно, что будет, если заглючит Nekoray, и например, интерфейсы останутся, а трафик пойдет в обход отвалившегося VPN. Или другие возможные глюки, которые трудно предвидеть.
Если жестко привязать Kill Switch к IP или Порту, то придется при каждом переключение профиля VPN перенастраивать FireWall.
Подскажите, как правильно реализовать?
Всем добра!

Answer 1

[shurshur]

Убрать default route в системе. Вручную прописать роуты до необходимых адресов (VPN-сервера, DNS). При падении VPN не будет в системе ни одного лишнего маршрута и трафик не сможет никуда уйти.

Как вариант, дефолт сделать так: ip route add unreachable default с метрикой больше любого роута в VPN. Либо зарезать средствами iptables. Но это уже средствами network-manager или что там используется может быть сложнее сделать.

Answer 2

[Zerg89]

Написать файрвол так чтобы трафик не мог пойти никуда кроме разрешенных интерфейсов
Тоесть пишите правило куда можно, и куда нельзя в дроп

Comments

[Alexey Dmitriev]

Маленькое добавление, если для подключений используются доменные имена, компьютер должен их откуда то получить

Answer 3

[Drno]

отмаркировать траффик
направить маркированный траффик принудительно на TUn или какой там интерфейс у некорей