Hallo,
habe jetzt nicht genau verstanden, ob dein Beispiel nun so
funktioniert,
oder soll es zeigen, das es so nicht geht?
Also das hier ist nun so o.k. oder nicht o.k.?:
iptables -F OUTPUT
iptables -A OUTPUT -j DROP
iptables -A OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
iptables -A OUTPUT -d VPNSERVER -p udp -j ACCEPT
Falls o.k., dann müsste ich, nach einem disconnect vom WLAN, die
iptables Regel
erst löschen, weil ich ja sonst nicht ins wlan komme oder?
Danke, Gruß
Am 22.06.2014 16:15, schrieb Kevin Holly:
On 21/06/14 17:17, casibu wrote:
> Am 21.06.2014 16:48, schrieb Chris:
>> On 06/20/2014 10:22 PM, casibu wrote:
>>> Gibt es dazu eine saubere Lösung. Ich dachte daran
das Default
>>> Gateway zu löschen, weiß aber nicht ob das so
funktioniert.
>> Mach doch einfach eine OUTPUT und ggf. FORWARD iptables
Regel,
>> die nur Verbindungen zum VPN-Server zulässt.
>>
> Hallo Chris,
> wie wäre denn folgende Lösung?
> | iptables -F OUTPUT iptables -I OUTPUT -d VPNSERVER -p udp
-j
> ACCEPT iptables -I OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
> iptables -I OUTPUT -j DROP |
Mit den Rules würdest du dich komplett aussperren, denn:
Du machst einen Flush auf die OUTPUT chain.
Du legst eine Regel an erster Stelle an.
Du legst eine weitere Regel an erster Stelle an (-I INPUT) und
drückst
damit die vorherige nach unten.
Du legst noch eine weitere Regel an erster Stelle an (-I INPUT -j
DROP) und drückst damit die beiden vorherigen ACCEPT's nach unten.
Hast also quasi im Endeffekt dein Ruleset so aufgebaut:
iptables -F OUTPUT
iptables -A OUTPUT -j DROP
iptables -A OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
iptables -A OUTPUT -d VPNSERVER -p udp -j ACCEPT
Das -A macht ein Append, das -I ein Insert an der Stelle, wo du
angibst, dass er inserten soll. Du hast allerdings nicht
angegeben,
desewgen ist "(default 1=first)".
> Dann müsste ich, nach einem disconnect vom WLAN, die iptables
Regel
> erst löschen, dann mit wlan verbinden, und dann erst wieder
die vpn
> Verbindung aufbauen?
> ------------------------------------------------- VFEmail.net
> <http://www.vfemail.net> *ONLY AT VFEmail!* - Use our
*Metadata
> Mitigator*™ to keep your email out of the NSA's hands! $24.95
> ONETIME Lifetime accounts with Privacy Features! No Bandwidth
> Quotas! 15GB disk space! Commercial and Bulk Mail Options!
>
>
-------------------------------------------------
VFEmail.net
ONLY AT VFEmail! - Use our Metadata Mitigator™ to keep your email out of the NSA's hands!
$24.95 ONETIME Lifetime accounts with Privacy Features!
No Bandwidth Quotas! 15GB disk space!
Commercial and Bulk Mail Options!
|