Как написать правила файрвола linux iptables для защиты от ухода трафика в обход vpn?

Question

[rodion-dev]

Подскажите как написать правила файрвола linux iptables для защиты от ухода трафика в обход vpn

чтобы блокировался весь трафик (tcp,udp,dns,все ping запросы и т.д.) если сейчас соединение не по VPN
но чтобы была возможность приконнектится к open vpn + зайти на ip сайта vpn (прописать ip, доступ к которым возможен без впн)

Comments

[rodion-dev]

на команды
iptables -I OUTPUT -i eth0 -j REJECT
выдает ошибку "iptables v1.4.21: Can't use -i with OUTPUT"

sudo iptables -I OUTPUT -i lo -j ACCEPT
выдает ошибку "iptables v1.4.21: Can't use -i with OUTPUT"

sudo iptables -I OUTPUT ! -i tun0 -j REJECT
выдает ошибку "iptables v1.4.21: Can't use -i with OUTPUT"

Answer 1

[rodion-dev]

на команды
iptables -I OUTPUT -i eth0 -j REJECT
выдает ошибку "iptables v1.4.21: Can't use -i with OUTPUT"

sudo iptables -I OUTPUT -i lo -j ACCEPT
выдает ошибку "iptables v1.4.21: Can't use -i with OUTPUT"

sudo iptables -I OUTPUT ! -i tun0 -j REJECT
выдает ошибку "iptables v1.4.21: Can't use -i with OUTPUT"

Answer 2

[Влад Животнев]

Снес свой предыдущий ответ к чертям.

Правильный способ (на примере дебиана/убунты)
auto eth0
eth0 inet static
address ....
netmask ....
post-up /sbin/ip ro add 8.8.8.8 via dev eth0
post-up /sbin/ip ro add 8.8.4.4 via dev eth0

gateway - НЕ указываем (чтобы на eth не поднимался default route вообще).
В openvpn пишем опцию default-route
post-up /sbin/ip пишем на все адреса, на которые можно ходить без VPN.

Comments

[rodion-dev]

спасибо. а как это iptables описать ?

[Влад Животнев]

rodion-dev: а не нужно эту задачу решать через iptables. Она роутингом решается.

[rodion-dev]

мой файл interfaces выглядит так
"""""""""""""""""
auto lo
iface lo inet loopback
"""""""""""""""""

к vpn подключаюсь через менеджер гнома.

что прописать в

address ....
netmask ....

?

и не утечет ли трафик пока конфиги будут применятся ?

[Влад Животнев]

rodion-dev: у вас сеть по проводу? Не ноут?

[rodion-dev]

хотя вообще обычно все через iptables закрывают коннекты.

[Влад Животнев]

rodion-dev: "обычно" iptables-ом за каким-то хреном решают задачи роутинга (впихивая NAT там, где он не нужен).

Это же не значит, что они все правильно делают. Задачи роутинга решаются роутингом, задачи fw - файрволлом. Здесь - задача про роутинг. Убрать default gateway с основного канала. Всё.

[rodion-dev]

инет по вай фай.
да ты все правильно говоришь только надо ещё коннекты закрыть вдруг какое то приложение вручную ломанется на интерфейс.

[rodion-dev]

хотя не уверен что так можно но видимо файрволом лучше закрыть не нужные коннекты.

[Влад Животнев]

rodion-dev: никуда оно не ломается, если роута нет. Ему некуда будет ломиться.

wifi всегда один? Или разные?

[rodion-dev]

wifi разные.