Блокировка любого трафика не через VPN

Здравствуйте!

Задача следующая. Есть рабочая станция на винде, которая подключена к интернету и OpenVPN. Необходимо закрыть доступ всем программам, кроме OpenVPN к основному сетевому интерфейсу, а остальные — пускать только через VPN интерфейс. Соответственно, при не подключенном (или упавшем) VPN-соединении доступа в интернет на машине быть не должно, однако, OpenVPN должна иметь возможность законнектится.

Какой Firewall под виндами лучше использовать для решения подобной задачи?

Под Linux такая задача была бы решаема с помощью пары-тройки правил iptables, а вот под виндой не знаю даже куда и копать.

Заранее спасибо за ответ!
  • Вопрос задан
  • 9091 просмотр
Решения вопроса 1
@Rulin
Элементарно можно сделать без всяких фаирволов (я исхожу из того что интернет у вас раздается через роутер, и на компьютере указан статический локальный адрес), в настройках сетевого интерфейса убираем все данные кроме ip адреса компьютера и маски сети, т.е. дефолтный шлюз должен отсутствовать и dns не должно быть, дальше необходимо прописать роутинг только до сервера vpn, комманду привожу из линукса (т.к. на венде подобные вещи неприятно делать), но ее легко можно адаптировать под винду т.к. там тоже есть комманде route. Сама комманда выглядит так: route add -host <ip адрес vpn сервера в интернете> gw <ip адрес локального роутера который раздает интернет (то что было указанно в дефолтном шлюзе)>

Все, в итоге мы имеем компьютер который подключен к локальной сети и не знает ничего про интернет, но знает где находиться vpn сервер. Далее подключаемся по vpn и получаем интернет.

p.s.
Как доберусь до компа с виндой напишу точно как команда выглядит на винде.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@bondbig
Закрыть все порты, кроме DNS и VPN.
Ответ написан
@omsknews
учитывая, что я совсем не виндузятник, то просто сделал за минуту «хак» — поставил ipfw для win, запретил выход трафика через карту Кроме адреса випиэн сервера. и разрешил все через виртуальный поднимающийся интерфейс.
Ответ написан
Комментировать
@smartlight
помоему тут можно проще.
в настройках «локального соединения via NIC» не прописывать default getway. оставить моршрут для локалки и всё.
а на сервере OpenVPN сделать чтобы он клиентам выдавал default getway.
при подключенном vpn весь траффик будет идти через vpn сервер, при упавшем vpn соединении будет доступна локалка.

это сработает, если vpn сервер находится в локалке с win клиентом.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы