Re: vpn absichern
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 21/06/14 17:17, casibu wrote:
>
> Am 21.06.2014 16:48, schrieb Chris:
>> On 06/20/2014 10:22 PM, casibu wrote:
>>> Gibt es dazu eine saubere Lösung. Ich dachte daran das Default
>>> Gateway zu löschen, weiß aber nicht ob das so funktioniert.
>> Mach doch einfach eine OUTPUT und ggf. FORWARD iptables Regel,
>> die nur Verbindungen zum VPN-Server zulässt.
>>
>
> Hallo Chris,
>
> wie wäre denn folgende Lösung?
>
> | iptables -F OUTPUT iptables -I OUTPUT -d VPNSERVER -p udp -j
> ACCEPT iptables -I OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
> iptables -I OUTPUT -j DROP |
Mit den Rules würdest du dich komplett aussperren, denn:
Du machst einen Flush auf die OUTPUT chain.
Du legst eine Regel an erster Stelle an.
Du legst eine weitere Regel an erster Stelle an (-I INPUT) und drückst
damit die vorherige nach unten.
Du legst noch eine weitere Regel an erster Stelle an (-I INPUT -j
DROP) und drückst damit die beiden vorherigen ACCEPT's nach unten.
Hast also quasi im Endeffekt dein Ruleset so aufgebaut:
iptables -F OUTPUT
iptables -A OUTPUT -j DROP
iptables -A OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
iptables -A OUTPUT -d VPNSERVER -p udp -j ACCEPT
Das -A macht ein Append, das -I ein Insert an der Stelle, wo du
angibst, dass er inserten soll. Du hast allerdings nicht angegeben,
desewgen ist "(default 1=first)".
>
>
> Dann müsste ich, nach einem disconnect vom WLAN, die iptables Regel
> erst löschen, dann mit wlan verbinden, und dann erst wieder die vpn
> Verbindung aufbauen?
>
>
>
> ------------------------------------------------- VFEmail.net
> <http://www.vfemail.net> *ONLY AT VFEmail!* - Use our *Metadata
> Mitigator*™ to keep your email out of the NSA's hands! $24.95
> ONETIME Lifetime accounts with Privacy Features! No Bandwidth
> Quotas! 15GB disk space! Commercial and Bulk Mail Options!
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iQEcBAEBAgAGBQJTpuUQAAoJELAaqP3QtzpMVuIH/jHr94bagQN2Imgsg+WCS3Nd
RM2HRfUEXSBrZ6ihl1AYfIPGrYY5tjFD2s7t3jzl4pmid2fSqhol9Y1yf1XNnEeD
VKPpBxIIeVjLqygsDEYdfjUUWvRmYnhdiOM31Bc9K6/g6+p4KPR/Yp3qrthK70hT
HTXlecgJ9XTv3Bz+UjVaEKxH+ApF9DqEmQ7michRr/uAPHt9WrCMogLGZarulRjm
S1WbM8cpo0JbPvvgE46LWfJqVr94KRxpxF+DLeUgupsx3/UhcFKyxKYKbOd2WP2m
q+JN5YMBm6vHfpcYSwvf2HXYJ+1GUn155sE+VMV/aZmWWfVmO1EpT5foSNpvbUY=
=Qekp
-----END PGP SIGNATURE-----
Reply to: