id: Гость   вход   регистрация
текущее время 01:51 18/11/2017
Автор темы: RRG11, тема открыта 17/09/2016 12:12 Печать
Категории: анонимность
https://www.pgpru.com/Форум/АнонимностьВИнтернет/ЗапретТрафикаВОбходOpenvpn
создать
просмотр
ссылки

Запрет трафика в обход openvpn

Доброго времени суток. Установил linux mint 18, поставил ipkungfu по https://xakep.ru/2014/10/02/paranoid-linuxoid/, перезагрузил gufw – отключился. Отсюда 2 вопроса:
а. Как проверить работает ли фаервол?
б. Как запретить трафик в обход openvpn, что нужно прописать в ipkungfu?
P.S. Я думаю проблема для многих актуальная – учитывая болезненный переход с форточек



 
Комментарии
— гыук (17/09/2016 14:08)   профиль/связь   <#>
комментариев: 261   документов: 0   редакций: 0
Воспользоваться Поиском форума. Здесь есть тема настройки файерволов.
— cypherpunks (27/09/2016 08:35)   профиль/связь   <#>
комментариев: 281   документов: 32   редакций: 12
Этой конфигурации достаточно?
— Гость_ (28/09/2016 05:12)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Для кого как. Конечно, с ней лучше, чем вообще без ничего, но от многих угроз она не защищает. Гайки затянуты тогда, когда всё, что не должно быть необходимо разрешено, запрещено, а там автор полностью открывает loopback и виртуальные интерфейсы, не указывает src и dst IP-адреса, не специфицирует трафик по юзерам. Универсальную инструкцию не напишешь – фаерволл должен каждый настраивать под свой случай сам, опираясь на собственную конфигурацию и потребности. Здесь была одна попытка, возможно, не слишком удачная, но она ближе к тому, как должны быть затянуты гайки.
— cypherpunks (18/10/2016 10:52, исправлен 18/10/2016 10:53)   профиль/связь   <#>
комментариев: 281   документов: 32   редакций: 12

Без команд:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

знаешь как долго идет исходящий запрос?

— Гость_ (18/10/2016 17:02)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9
Если правила запрещают то, что должно быть разрешено, "запрос" будет идти бесконечно и никогда не выполнится. Полное отключение фильтрации на lo вменяемые программы не требуют.
— cypherpunks (28/10/2016 08:14)   профиль/связь   <#>
комментариев: 281   документов: 32   редакций: 12

Ага! Только к вашему "вменяемому" софту относится и Тор, который до:
sudo iptables -A INPUT -i lo -j ACCEPT && sudo iptables -A OUTPUT -o lo -j ACCEPT

после запуска сначала несколько минут висит, а затем истерично ругается:
Could not connect to Tor control port.
— sentaus (28/10/2016 12:48)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
после запуска сначала несколько минут висит, а затем истерично ругается:

Ну так можно (и нужно!) открыть только на этот самый control port.
— Гость_ (28/10/2016 14:27, исправлен 28/10/2016 14:29)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Вам дали конкретную ссылку, где случай тора разобран как раз очень-очень подробно во всех деталях, но там ведь много букв, да? Поэтому читать мы это не будем, мы будем делать. Инструкции – для слабаков.



В данном случае, думаю, всё сложнее. Сам по себе тор прекрасно работает при полностью закрытом lo. Браузер с внешним тором прекрасно работает при заблокированном ControlPort. Браузер с внутренним тором – возможно, тоже, но я не проверял. Чтобы пользоваться тором, нужно разрешить соединение по SocksPort, иначе трафик приложений до тор-клиента попросту не дойдёт, т.е. SocksPort обязателен, а ControlPort опционален. В более сложных случаях надо открывать ещё TransPort, DNSPort и т.д.

— sentaus (28/10/2016 14:31)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32
В данном случае, думаю, всё сложнее.

Да,точно, ещё ж сам FF локальные соединения открывает.
— Гость_ (28/10/2016 15:32, исправлен 28/10/2016 15:34)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Вот пример открытия порта 9150, к которому коннектится юзер $BROWSER_USER, при том, что тор запущен от отдельного юзера – $TOR_USER:



Ответы разрешены ещё и от рута, потому что часть пакетов, идущих от тора, почему-то теряют своего юзера (UID). Также теряют своего владельца часть пакетов, идущих через ESTABLISHED-соединение (возможно, завершающие), поэтому их приходится блокировать принудительно, чтоб они не засоряли лог-файлы (после две строки). Если ControlPort нужен, для него надо добавить точно такие же 7 строк. Если б не баги (или фичи, фиг поймёшь), нужно было б всего 4 строки – без последних трёх.

— гыук (28/10/2016 15:40)   профиль/связь   <#>
комментариев: 261   документов: 0   редакций: 0
Можно посмотреть что там в Tails, Whonix

# iptables -n -L -v --line-numbers
— Гость_ (28/10/2016 15:44)   профиль/связь   <#>
комментариев: 434   документов: 6   редакций: 9

Там случайно не transparent tor proxy?
— гыук (28/10/2016 16:49, исправлен 28/10/2016 17:14)   профиль/связь   <#>
комментариев: 261   документов: 0   редакций: 0

Вот Tails


Chain INPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
2 0 0 ACCEPT all — lo * 0.0.0.0/0 0.0.0.0/0


Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination


Chain OUTPUT (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
2 0 0 ACCEPT icmp — * lo 0.0.0.0/0 0.0.0.0/0 state RELATED
3 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9050 flags:0x17/0x02 owner UID match 0
4 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9050 flags:0x17/0x02 owner UID match 13
5 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9050 flags:0x17/0x02 owner UID match 65534
6 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp flags:0x17/0x02 multiport dports 9050,9061,9062,9150 owner UID match 1000
7 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9062 flags:0x17/0x02 owner UID match 118
8 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9062 flags:0x17/0x02 owner UID match 121
9 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9062 flags:0x17/0x02 owner UID match 122
10 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9051 owner UID match 124
11 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9051 owner UID match 0
12 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9052 owner UID match 1000
13 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:9040 owner UID match 1000
14 0 0 ACCEPT udp — * lo 0.0.0.0/0 127.0.0.1 udp dpt:53 owner UID match 1000
15 0 0 ACCEPT udp — * lo 0.0.0.0/0 127.0.0.1 udp dpt:5353 owner UID match 1000
16 0 0 ACCEPT udp — * lo 0.0.0.0/0 127.0.0.2 udp dpt:53 owner UID match 1000
17 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.2 tcp dpt:53 flags:0x17/0x02 owner UID match 1000
18 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:4101 flags:0x17/0x02 owner UID match 1000
19 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:631 flags:0x17/0x02 owner UID match 1000
20 0 0 ACCEPT tcp — * lo 0.0.0.0/0 127.0.0.1 tcp dpt:6136 flags:0x17/0x02 owner UID match 1000
21 0 0 ACCEPT tcp — * !lo 0.0.0.0/0 0.0.0.0/0 owner UID match 117
22 0 0 ACCEPT udp — * !lo 0.0.0.0/0 0.0.0.0/0 owner UID match 117 udp dpt:53
23 0 0 lan all — * * 0.0.0.0/0 10.0.0.0/8
24 0 0 lan all — * * 0.0.0.0/0 172.16.0.0/12
25 0 0 lan all — * * 0.0.0.0/0 192.168.0.0/16
26 0 0 ACCEPT tcp — * * 0.0.0.0/0 0.0.0.0/0 owner UID match 107 tcp flags:0x17/0x02 state NEW
27 0 0 LOG all — * * 0.0.0.0/0 0.0.0.0/0 LOG flags 8 level 7 prefix "Dropped outbound packet: "
28 0 0 REJECT all — * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable


Chain lan (3 references)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT tcp — * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 reject-with icmp-port-unreachable
2 0 0 REJECT udp — * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 reject-with icmp-port-unreachable
3 0 0 REJECT all — * * 0.0.0.0/0 0.0.0.0/0 owner UID match 116 reject-with icmp-port-unreachable
4 0 0 ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0


++++++++++++++++


torrc (по умолчанию)


Local settings


## Torified DNS
DNSPort 5353
AutomapHostsOnResolve 1
AutomapHostsSuffixes .exit,.onion


## Transparent proxy
TransPort 9040
TransListenAddress 127.0.0.1


## Misc
AvoidDiskWrites 1


## We don't care if applications do their own DNS lookups since our Tor
## enforcement will handle it safely.
WarnUnsafeSocks 0


## Disable default warnings on StartTLS for email. Let's not train our
## users to click through security warnings.
WarnPlaintextPorts 23,109
Sandbox 1


Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3