Re: vpn absichern

To: debian-user-german@lists.debian.org
Subject: Re: vpn absichern
From: Kevin Holly <debian@lists.dedilink.eu>
Date: Sun, 22 Jun 2014 16:15:44 +0200
Message-id: <[🔎] 53A6E510.1010500@lists.dedilink.eu>
In-reply-to: <[🔎] 53A5A201.1010803@mail-on.us>
References: <[🔎] 53A4980C.3050604@mail-on.us> <[🔎] 53A59B45.5070109@arcor.de> <[🔎] 53A5A201.1010803@mail-on.us>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 21/06/14 17:17, casibu wrote:
> 
> Am 21.06.2014 16:48, schrieb Chris:
>> On 06/20/2014 10:22 PM, casibu wrote:
>>> Gibt es dazu eine saubere Lösung. Ich dachte daran das Default
>>> Gateway zu löschen, weiß aber nicht ob das so funktioniert.
>> Mach doch einfach eine OUTPUT und ggf. FORWARD iptables Regel,
>> die nur Verbindungen zum VPN-Server zulässt.
>> 
> 
> Hallo Chris,
> 
> wie wäre denn folgende Lösung?
> 
> | iptables -F OUTPUT iptables -I OUTPUT -d VPNSERVER -p udp -j
> ACCEPT iptables -I OUTPUT -s VPNIP -d VPNNETZWERK  -j ACCEPT 
> iptables -I OUTPUT -j DROP |
Mit den Rules würdest du dich komplett aussperren, denn:

Du machst einen Flush auf die OUTPUT chain.
Du legst eine Regel an erster Stelle an.
Du legst eine weitere Regel an erster Stelle an (-I INPUT) und drückst
damit die vorherige nach unten.
Du legst noch eine weitere Regel an erster Stelle an (-I INPUT -j
DROP) und drückst damit die beiden vorherigen ACCEPT's nach unten.

Hast also quasi im Endeffekt dein Ruleset so aufgebaut:

iptables -F OUTPUT
iptables -A OUTPUT -j DROP
iptables -A OUTPUT -s VPNIP -d VPNNETZWERK  -j ACCEPT
iptables -A OUTPUT -d VPNSERVER -p udp -j ACCEPT

Das -A macht ein Append, das -I ein Insert an der Stelle, wo du
angibst, dass er inserten soll. Du hast allerdings nicht angegeben,
desewgen ist "(default 1=first)".
> 
> 
> Dann müsste ich, nach einem disconnect vom WLAN, die iptables Regel
> erst löschen, dann mit wlan verbinden, und dann erst wieder die vpn
> Verbindung aufbauen?
> 
> 
> 
> ------------------------------------------------- VFEmail.net
> <http://www.vfemail.net> *ONLY AT VFEmail!* - Use our *Metadata
> Mitigator*™ to keep your email out of the NSA's hands! $24.95
> ONETIME Lifetime accounts with Privacy Features! No Bandwidth
> Quotas!   15GB disk space! Commercial and Bulk Mail Options!
> 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTpuUQAAoJELAaqP3QtzpMVuIH/jHr94bagQN2Imgsg+WCS3Nd
RM2HRfUEXSBrZ6ihl1AYfIPGrYY5tjFD2s7t3jzl4pmid2fSqhol9Y1yf1XNnEeD
VKPpBxIIeVjLqygsDEYdfjUUWvRmYnhdiOM31Bc9K6/g6+p4KPR/Yp3qrthK70hT
HTXlecgJ9XTv3Bz+UjVaEKxH+ApF9DqEmQ7michRr/uAPHt9WrCMogLGZarulRjm
S1WbM8cpo0JbPvvgE46LWfJqVr94KRxpxF+DLeUgupsx3/UhcFKyxKYKbOd2WP2m
q+JN5YMBm6vHfpcYSwvf2HXYJ+1GUn155sE+VMV/aZmWWfVmO1EpT5foSNpvbUY=
=Qekp
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: vpn absichern
  - From: casibu <casibu@mail-on.us>

References:
- vpn absichern
  - From: casibu <casibu@mail-on.us>
- Re: vpn absichern
  - From: Chris <ch2009@arcor.de>
- Re: vpn absichern
  - From: casibu <casibu@mail-on.us>

Prev by Date: Re: vpn absichern
Next by Date: Re: vpn absichern
Previous by thread: Re: vpn absichern
Next by thread: Re: vpn absichern
Index(es):
- Date
- Thread