Как запретить выход в инет при неактивном VPN?

0

1

Он порой долго запускается, и мало-ли отвалится. В таком случае нужно резко-быстро закрыть инет. Как-то запретить стучаться без VPN. Нубовопрос - как-бы это провернуть?

Ссылка

←	Asterisk защита

Рутанули или mitm?

→

Не указывай default gateway.

thesis ★★★★★
(27.12.14 11:28:58 MSK)
Последнее исправление: thesis 27.12.14 11:29:29 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 27.12.14 11:28:58 MSK

Можно немного подробнее? Где именно оно указывается/не указывается? Мой гугл что-то не спешит радовать, видимо это слишком очевидно, но не для меня.

~~evilmanul~~ ★
(27.12.14 11:35:00 MSK) автор топика

Ответ на: комментарий от evilmanul 27.12.14 11:35:00 MSK

VPN-подключение кто устанавливает, комп или роутер?

thesis ★★★★★
(27.12.14 11:38:22 MSK)

У него ведь свой интерфейс? Запрети себе доступ на другие и поднимай впн от другого пользователя\рута.

KillTheCat ★★★★★
(27.12.14 11:40:56 MSK)

Ответ на: комментарий от thesis 27.12.14 11:38:22 MSK

Комп, openvpn. Я ещё не VPN-юзер, только учусь, посему заранее прошу прощения за возможную глупость.

~~evilmanul~~ ★
(27.12.14 11:42:29 MSK) автор топика

Ответ на: комментарий от KillTheCat 27.12.14 11:40:56 MSK

Можно чуть подробнее, чем сей запрет реализуется?

~~evilmanul~~ ★
(27.12.14 11:43:19 MSK) автор топика

Ещё такая фигня: сервис openvpn, кмк, отрабатывает раньше, чем netctl, который мне wifi подключает. Systemd. Поэтому, наверное, после загрузки VPN не работает - заработает только при ручном рестарте openvpn-сервиса. Вопрос - как это всё сделать как надо? Т.е. чтобы вафля поднялась, и только потом VPN

~~evilmanul~~ ★
(27.12.14 11:46:49 MSK) автор топика
Последнее исправление: evilmanul 27.12.14 11:47:10 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от evilmanul 27.12.14 11:43:19 MSK

Иптаблесом. Я не знаю, мб сработает, редко им пользуюсь:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m owner --uid-owner openvpn-user -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -o openvpneth -j ACCEPT
COMMIT

KillTheCat ★★★★★
(27.12.14 11:58:10 MSK)

Ссылка

Ответ на: комментарий от evilmanul 27.12.14 11:42:29 MSK

Смотри выхлоп ip route show У тебя там должна быть строчка наподобие

default via 192.168.1.1 dev p2p1  proto static  metric 1024

Это - твой default route, который ты либо вписал сам, либо получил по DHCP. Процедура такая:

1) Удаляем default route и указанный в ручных настройках либо опциях DHCP-сервера default gateway (см. «ip route del»)

2) Вписываем статический маршрут до ВПН-сервера (см. «ip route add»)

3) Учим ВПН-клиент автоматически создавать дефолтный маршрут через ВПН-сервер при подключении. См. доки по опенвпну. Там чего-то с redirect-gateway вроде, я не помню.

thesis ★★★★★
(27.12.14 13:10:32 MSK)

Ссылка

Мейби в хостс можно запретить.... Вообще нам в офисе делали нечто подобное http://abonent-pc.ru/ Но я не вникал как именно.

Purd
(02.01.15 20:59:07 MSK)

Ссылка

thesis всё правильно расписал про default gateway. То, что подключается только при рестарте сервиса - странно. По идее, он должен всё время пытаться установить подключение, пока не получится. Покрути ping, ping-restart. Если используется TCP - то ещё connect-timeout.