Как защитить данные при обрыве OpenVPN?

Question

[AkZwork]

Добрый день.
Есть Ubuntu. Если обрывается соединение OpenVPN, то весь трафик идет напрямую.
Как сделать так, чтобы при обрыве ничего не работало, включая DNS?
То есть разрешено только OpenVPN соединение и 8.8.8.8 днс.

Пожалуйста, пишите более детальные ответы. Долго пытаюсь решить вопрос.

Answer 1

[chupasaurus]

Удалять маршрут по-умолчанию у интерфейса с интернетами после поднятия туннеля.

• Если поднимать туннель скриптом-однострочником или просто из консоли - с параметрами

  --security-level 2 --up /path/to/route-killswitch.sh

  
  
• Если из NetworkManager - добавить файл /etc/udev/rules.d/route-killswitch с содержимым

  KERNEL=="vpn0", RUN+="/PATH_TO_THE_SCRIPT/SCRIPT_NAME"

  
  

Скрипт:

#!/bin/sh
ip route del default dev dev_name

Comments

[AkZwork]

Скажите, скрипт надо исполнять каждый раз? То есть при новой загрузке ПК все возвращается назад?
Если да, то как сделать так, чтобы трафик не утекал с момента загрузки ОС (а не с момента ввода команды перед подключением OPENVPN)?

[chupasaurus]

AkZwork: Всё это можно поднять init-скриптами/systemd-юнитами.

[AkZwork]

chupasaurus: все, что вы написали, мне непонятно.

[AkZwork]

chupasaurus: Удалил default и теперь не работает вообще ничего, не подключается к VPN даже.

[younghacker]

AkZwork: Когда у Вас есть default route то ваш VPN клиент знает куда слать пакеты на адреса в чужих сетях.
Если VPN сервер на ходится не в вашей сети, что скорее всего так и есть, то при удалении default route пакеты идущие на VPN заворачиваются также в VPN (я так понимаю что default route передаётся с VPN сервера). И они никогда не достигнут VPN сервера пока не будет восстановлена маршрутизация.
Восстановить её можно либо вернув default route или прописав статический роут
178.15x.2x2.xx/32 dev eth_or_wifi с маленькой метрикой.

Поэтому если так извращаться то я бы посоветовал перед удалением default route добавить этот статический роут. :)

Answer 2

[Host-Eiweb]

Что Вам мешает настроить фаервол "gufw"?