Re: vpn absichern

To: Kevin Holly <debian@lists.dedilink.eu>, debian-de <debian-user-german@lists.debian.org>
Subject: Re: vpn absichern
From: casibu <casibu@mail-on.us>
Date: Mon, 23 Jun 2014 14:36:30 +0200
Message-id: <[🔎] 53A81F4E.9080009@mail-on.us>
In-reply-to: <[🔎] 53A6E510.1010500@lists.dedilink.eu>
References: <[🔎] 53A4980C.3050604@mail-on.us> <[🔎] 53A59B45.5070109@arcor.de> <[🔎] 53A5A201.1010803@mail-on.us> <[🔎] 53A6E510.1010500@lists.dedilink.eu>

Hallo,

habe jetzt nicht genau verstanden, ob dein Beispiel nun so funktioniert,
oder soll es zeigen, das es so nicht geht?

Also das hier ist nun so o.k. oder nicht o.k.?:

iptables -F OUTPUT
iptables -A OUTPUT -j DROP
iptables -A OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
iptables -A OUTPUT -d VPNSERVER -p udp -j ACCEPT

Falls o.k., dann müsste ich, nach einem disconnect vom WLAN, die iptables Regel
erst löschen, weil ich ja sonst nicht ins wlan komme oder?

Danke, Gruß

Am 22.06.2014 16:15, schrieb Kevin Holly:

On 21/06/14 17:17, casibu wrote:

> Am 21.06.2014 16:48, schrieb Chris:
>> On 06/20/2014 10:22 PM, casibu wrote:
>>> Gibt es dazu eine saubere Lösung. Ich dachte daran das Default
>>> Gateway zu löschen, weiß aber nicht ob das so funktioniert.
>> Mach doch einfach eine OUTPUT und ggf. FORWARD iptables Regel,
>> die nur Verbindungen zum VPN-Server zulässt.
>>

> Hallo Chris,

> wie wäre denn folgende Lösung?

> | iptables -F OUTPUT iptables -I OUTPUT -d VPNSERVER -p udp -j
> ACCEPT iptables -I OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
> iptables -I OUTPUT -j DROP |
Mit den Rules würdest du dich komplett aussperren, denn:

Du machst einen Flush auf die OUTPUT chain.
Du legst eine Regel an erster Stelle an.
Du legst eine weitere Regel an erster Stelle an (-I INPUT) und drückst
damit die vorherige nach unten.
Du legst noch eine weitere Regel an erster Stelle an (-I INPUT -j
DROP) und drückst damit die beiden vorherigen ACCEPT's nach unten.

Hast also quasi im Endeffekt dein Ruleset so aufgebaut:

iptables -F OUTPUT
iptables -A OUTPUT -j DROP
iptables -A OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
iptables -A OUTPUT -d VPNSERVER -p udp -j ACCEPT

Das -A macht ein Append, das -I ein Insert an der Stelle, wo du
angibst, dass er inserten soll. Du hast allerdings nicht angegeben,
desewgen ist "(default 1=first)".

> Dann müsste ich, nach einem disconnect vom WLAN, die iptables Regel
> erst löschen, dann mit wlan verbinden, und dann erst wieder die vpn
> Verbindung aufbauen?

> ------------------------------------------------- VFEmail.net
> <http://www.vfemail.net> *ONLY AT VFEmail!* - Use our *Metadata
> Mitigator*™ to keep your email out of the NSA's hands! $24.95
> ONETIME Lifetime accounts with Privacy Features! No Bandwidth
> Quotas! 15GB disk space! Commercial and Bulk Mail Options!

>
>

-------------------------------------------------
VFEmail.net
ONLY AT VFEmail! - Use our Metadata Mitigator™ to keep your email out of the NSA's hands!
$24.95 ONETIME Lifetime accounts with Privacy Features!
No Bandwidth Quotas! 15GB disk space!
Commercial and Bulk Mail Options!

Reply to:

Follow-Ups:
- Re: vpn absichern
  - From: Kevin Holly <debian@lists.dedilink.eu>

References:
- vpn absichern
  - From: casibu <casibu@mail-on.us>
- Re: vpn absichern
  - From: Chris <ch2009@arcor.de>
- Re: vpn absichern
  - From: casibu <casibu@mail-on.us>
- Re: vpn absichern
  - From: Kevin Holly <debian@lists.dedilink.eu>

Prev by Date: Re: vpn absichern
Next by Date: Dante hat Speicherzugriffsfehler
Previous by thread: Re: vpn absichern
Next by thread: Re: vpn absichern
Index(es):
- Date
- Thread