Запрет трафика в обход openvpn
Доброго времени суток. Установил linux mint 18, поставил ipkungfu по https://xakep.ru/2014/10/02/paranoid-linuxoid/, перезагрузил gufw – отключился. Отсюда 2 вопроса:
а. Как проверить работает ли фаервол?
б. Как запретить трафик в обход openvpn, что нужно прописать в ipkungfu?
P.S. Я думаю проблема для многих актуальная – учитывая болезненный переход с форточек
комментариев: 271 документов: 0 редакций: 0
комментариев: 300 документов: 33 редакций: 12
комментариев: 450 документов: 10 редакций: 13
Для кого как. Конечно, с ней лучше, чем вообще без ничего, но от многих угроз она не защищает. Гайки затянуты тогда, когда всё, что не должно быть необходимо разрешено, запрещено, а там автор полностью открывает loopback и виртуальные интерфейсы, не указывает src и dst IP-адреса, не специфицирует трафик по юзерам. Универсальную инструкцию не напишешь – фаерволл должен каждый настраивать под свой случай сам, опираясь на собственную конфигурацию и потребности. Здесь была одна попытка, возможно, не слишком удачная, но она ближе к тому, как должны быть затянуты гайки.
комментариев: 300 документов: 33 редакций: 12
Без команд:
знаешь как долго идет исходящий запрос?
комментариев: 450 документов: 10 редакций: 13
комментариев: 300 документов: 33 редакций: 12
Ага! Только к вашему "вменяемому" софту относится и Тор, который до:
после запуска сначала несколько минут висит, а затем истерично ругается:
комментариев: 1060 документов: 16 редакций: 32
Ну так можно (и нужно!) открыть только на этот самый control port.
комментариев: 450 документов: 10 редакций: 13
Вам дали конкретную ссылку, где случай тора разобран как раз очень-очень подробно во всех деталях, но там ведь много букв, да? Поэтому читать мы это не будем, мы будем делать. Инструкции – для слабаков.
В данном случае, думаю, всё сложнее. Сам по себе тор прекрасно работает при полностью закрытом lo. Браузер с внешним тором прекрасно работает при заблокированном ControlPort. Браузер с внутренним тором – возможно, тоже, но я не проверял. Чтобы пользоваться тором, нужно разрешить соединение по SocksPort, иначе трафик приложений до тор-клиента попросту не дойдёт, т.е. SocksPort обязателен, а ControlPort опционален. В более сложных случаях надо открывать ещё TransPort, DNSPort и т.д.
комментариев: 1060 документов: 16 редакций: 32
Да,точно, ещё ж сам FF локальные соединения открывает.
комментариев: 450 документов: 10 редакций: 13
Вот пример открытия порта 9150, к которому коннектится юзер $BROWSER_USER, при том, что тор запущен от отдельного юзера – $TOR_USER:
Ответы разрешены ещё и от рута, потому что часть пакетов, идущих от тора, почему-то теряют своего юзера (UID). Также теряют своего владельца часть пакетов, идущих через ESTABLISHED-соединение (возможно, завершающие), поэтому их приходится блокировать принудительно, чтоб они не засоряли лог-файлы (после две строки). Если ControlPort нужен, для него надо добавить точно такие же 7 строк. Если б не баги (или фичи, фиг поймёшь), нужно было б всего 4 строки – без последних трёх.
комментариев: 271 документов: 0 редакций: 0
# iptables -n -L -v --line-numbers
комментариев: 450 документов: 10 редакций: 13
Там случайно не transparent tor proxy?
комментариев: 271 документов: 0 редакций: 0
Вот Tails
Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
2 0 0 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
2 0 0 ACCEPT icmp — * lo 0.0.0.0/0 0.0.0.0/0 state RELATED
3 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9050 flags:0x17/0x02 owner UID match 0
4 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9050 flags:0x17/0x02 owner UID match 13
5 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9050 flags:0x17/0x02 owner UID match 65534
6 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp flags:0x17/0x02 multiport dports 9050,9061,9062,9150 owner UID match 1000
7 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9062 flags:0x17/0x02 owner UID match 118
8 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9062 flags:0x17/0x02 owner UID match 121
9 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9062 flags:0x17/0x02 owner UID match 122
10 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9051 owner UID match 124
11 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9051 owner UID match 0
12 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9052 owner UID match 1000
13 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9040 owner UID match 1000
14 0 0 ACCEPT udp — * lo 0.0.0.0/0 127.0.0.1 udp dpt:53 owner UID match 1000
15 0 0 ACCEPT udp — * lo 0.0.0.0/0 127.0.0.1 udp dpt:5353 owner UID match 1000
16 0 0 ACCEPT udp — * lo 0.0.0.0/0 127.0.0.2 udp dpt:53 owner UID match 1000
17 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.2 tcp dpt:53 flags:0x17/0x02 owner UID match 1000
18 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:4101 flags:0x17/0x02 owner UID match 1000
19 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:631 flags:0x17/0x02 owner UID match 1000
20 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:6136 flags:0x17/0x02 owner UID match 1000
21 0 0 ACCEPT tcp — * !lo 0.0.0.0/0 0.0.0.0/0 owner UID match 117
22 0 0 ACCEPT udp — * !lo 0.0.0.0/0 0.0.0.0/0 owner UID match 117 udp dpt:53
23 0 0 lan all — * * 0.0.0.0/0 10.0.0.0/8
24 0 0 lan all — * * 0.0.0.0/0 172.16.0.0/12
25 0 0 lan all — * * 0.0.0.0/0 192.168.0.0/16
26 0 0 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 owner UID match 107 tcp flags:0x17/0x02 state NEW
27 0 0 LOG all — * * 0.0.0.0/0 0.0.0.0/0 LOG flags 8 level 7 prefix "Dropped outbound packet: "
28 0 0 REJECT all — * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain lan (3 references)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 reject-with icmp-port-unreachable
2 0 0 REJECT udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 reject-with icmp-port-unreachable
3 0 0 REJECT all — * * 0.0.0.0/0 0.0.0.0/0 owner UID match 116 reject-with icmp-port-unreachable
4 0 0 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0
++++++++++++++++
torrc (по умолчанию)
Local settings
## Torified DNS
DNSPort 5353
AutomapHostsOnResolve 1
AutomapHostsSuffixes .exit,.onion
## Transparent proxy
TransPort 9040
TransListenAddress 127.0.0.1
## Misc
AvoidDiskWrites 1
## We don't care if applications do their own DNS lookups since our Tor
## enforcement will handle it safely.
WarnUnsafeSocks 0
## Disable default warnings on StartTLS for email. Let's not train our
## users to click through security warnings.
WarnPlaintextPorts 23,109
Sandbox 1