Как написать правила файрвола linux iptables для защиты от ухода трафика в обход vpn?
Подскажите как написать правила файрвола linux iptables для защиты от ухода трафика в обход vpn
чтобы блокировался весь трафик (tcp,udp,dns,все ping запросы и т.д.) если сейчас соединение не по VPN
но чтобы была возможность приконнектится к open vpn + зайти на ip сайта vpn (прописать ip, доступ к которым возможен без впн)
Правильный способ (на примере дебиана/убунты)
auto eth0
eth0 inet static
address ....
netmask ....
post-up /sbin/ip ro add 8.8.8.8 via dev eth0
post-up /sbin/ip ro add 8.8.4.4 via dev eth0
gateway - НЕ указываем (чтобы на eth не поднимался default route вообще).
В openvpn пишем опцию default-route
post-up /sbin/ip пишем на все адреса, на которые можно ходить без VPN.
rodion-dev: "обычно" iptables-ом за каким-то хреном решают задачи роутинга (впихивая NAT там, где он не нужен).
Это же не значит, что они все правильно делают. Задачи роутинга решаются роутингом, задачи fw - файрволлом. Здесь - задача про роутинг. Убрать default gateway с основного канала. Всё.