id: Гость   вход   регистрация
текущее время 06:06 21/05/2022
Автор темы: Гость, тема открыта 18/04/2011 22:52 Печать
Категории: анонимность
https://www.pgpru.com/Форум/АнонимностьВИнтернет/КакЗапретитьТрафикВОбходVPNприОбрыве
создать
просмотр
ссылки

Как запретить трафик в обход VPN (при обрыве)


Подскажите, пожалуйста, как в Windows 7 запретить утечку трафика для определенных программ или вообще всего трафика, которая происходит во время дисконнекта openVPN клиента?


То есть, если клиент внезапно стал disconnected весь трафик тут же блочился бы. Знаю, что есть программа IP Filter & Monitor, но может быть можно что-то полегче придумать. Спасибо за советы


 
На страницу: 1, 2 След.
Комментарии
— Гость (18/04/2011 22:58)   <#>
Воткнуть между Windows 7 и интернетом рутер с UNIX'ом на борту, который будет блочить траф, идущий в обход VPN.
— Гость (18/04/2011 23:07)   <#>
Это еще сложнее, чем IP Filter & Monitor настроить) где-то на форумах видел фразу "для определенной группы программ можно разрешить доступ только через виртуальный MAC адрес ВПН соединения". кто-нибудь знает как такое можно сделать?
— Beowulf (19/04/2011 02:06)   <#>
Первое что приходит на ум – лазать из виртуальной машины и рубить фаерволлом в супервизоре.

Или наоборот – из супервизора лазать через VM и рубить там.
— Гость (03/06/2012 17:41)   <#>
Для этого требуется тонкая настройка фаервола.
Не знаю, правильно или нет, но я эту проблему у себя решил следующим образом.

Есть ноутбук с WinXP (не Win7).
Скачиваем и устанавливаем OpenVPN. Ставим ПОЛНУЮ, а не портабле-версию.

http://openvpn.net/index.php/download.html

После установки openvpn в "Сетевых подключениях" появится новый VPN-интерфейс.
Скачиваем и устанавливаем виндовый порт BSD-фаервола WIPFW.

http://wipfw.sourceforge.net/index-ru.html

В рабочей папке wipfw (например c:\\wipfw) запускаем файл install-deny.cmd,
настраивая фаервол "закрытым по умолчанию".

Виндовый брэндмауэр отключаем (через "Службы") – вместо него будет работать wipfw.
В конфигурационный файл wipfw – c:\\wipfw\wipfw.conf – прописываем следующие
правила:

#-- начало файла --
-f flush
add allow all from any to any via lo*
add deny log all from any to 127.0.0.0/8 in
add deny log all from 127.0.0.0/8 to any in
add allow ip from any to any via eth6
add check-state
add deny log tcp from any to any established
add allow tcp from me to any 53 out keep-state setup
add allow udp from me to any 53 out keep-state
add allow tcp from me to any 443 out keep-state setup
add allow udp from me to any 1194 out keep-state
add deny log all from any to any
zero 65535
#-- конец файла --

Здесь "eth6" – имя вашего vpn-интерфейса, которое можно узнать через
консоль cmd.exe, командой


Перегружаем фаервол (применяем правила в конфиге) командой


Пытаемся установить внешнее соединение (через броузер, ping или др.).

Соединение устанавливаться НЕ ДОЛЖНО (что и требуется).

После этого запускаете VPN-GUI (openvpn-gui-1.0.3.exe) и
выбираем "connect", ждете когда установится vpn-соединение с
vpn-сервером (когда значок "позеленеет"), после чего снова
пытаетесь соединиться с внешними адресами.

На этот раз соединения должны устанавливаться без проблем.

Разумеется, что у вас уже должны иметься все необходимые ключи и
правильно настроенный vpn конфиг. Ключи и конфиг обычно выдает
владелец vpn-сервиса или вы создаете их самостоятельно.

Настройку и использование OpenVPN и WIPFW я уж описывать не буду –
можно поискать в интернете.
— Гость (28/06/2012 22:05)   <#>
так вроде понятно. но требуется уточнение, что имеется ввиду.. короче поконкретнее )
устанавливаем виндовый порт BSD-фаервола WIPFW
— Гость (13/08/2012 23:58)   <#>
В операционке FreeBSD есть штатный консольный файервол ipfw. Но так же существует и его виндовая версия – wipfw. Просто я пользуюсь им по привычке, т.к. долгое время использовал FreeBSD на работе. Консольный файервол позволяет задавать гибкие правила фильтрации разной степени извращенности. Просто не знаю, существуют ли файерволы для винды, которые позволяют задавать такую же гибкость в настройках.

Кроме настройки файервола можно попробовать еще один способ, который я вычитал в интернете. Для недопущение проскакивания траффика "мимо" vpn-соединения (при его обрыве), нужно в vpn-конфиг добавить строчки:

route delete 0.0.0.0 mask 0.0.0.0
script-security 3

Сам так делать, правда, не пробовал, так что не знаю, работает этот вариант или нет.
— Гость (27/10/2012 13:26)   <#>
виндовый порт BSD-фаервола WIPFW.
кто пробовал на Win7x64. на сайте только для 32
— Гость (27/10/2012 21:38)   <#>
Настройку и использование... WIPFW я уж описывать не буду
может опишите все-таки?
— Гость (27/10/2012 23:28)   <#>
а другие варианты существуют? кроме wipfw
— Гость (27/10/2012 23:52)   <#>
Могу ошибаться, но несколько лет назад, один попсовый популярный ВПН сервис предлагал утилиту,к ак дополнение к своим услугам, которая блокировала трафик, если связь с ВПН серверами рвалась. По-моему, она где-то на хардах с софтом у меня есть. Скачал, помню, а зачем? Все равно не пользовался.
Названия не помню, да и давно её убрали с сайта ВПН-прова.
— Гость (28/10/2012 11:13)   <#>
с сайта может убрали, но в инете наверняка где то лежит.
может удастся вспомнить название?
— Гость (28/10/2012 11:24)   <#>
спасибо за наводку ))
здесь утилита
— Гость (28/10/2012 13:07)   <#>
на системе х64 не устанавливается драйвер (отсутствует подпись).
— Гость (28/10/2012 19:41)   <#>
читайте мануал команды route, она есть как в никсах так и в винде.
— Гость (28/10/2012 23:10)   <#>
читайте мануал команды route

как мне воспользоваться знаниями?
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3