Re: vpn absichern
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 23/06/14 14:36, casibu wrote:
> Hallo,
>
> habe jetzt nicht genau verstanden, ob dein Beispiel nun so
> funktioniert, oder soll es zeigen, das es so nicht geht?
>
>
> Also das hier ist nun so o.k. oder nicht o.k.?:
>
> iptables -F OUTPUT iptables -A OUTPUT -j DROP iptables -A OUTPUT -s
> VPNIP -d VPNNETZWERK -j ACCEPT iptables -A OUTPUT -d VPNSERVER -p
> udp -j ACCEPT
iptables -F OUTPUT
iptables -A OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
iptables -A OUTPUT -d VPNSERVER -p udp -j ACCEPT
iptables -A OUTPUT -j DROP
So rum, sorry für die Verwirrung :)
>
> Falls o.k., dann müsste ich, nach einem disconnect vom WLAN, die
> iptables Regel erst löschen, weil ich ja sonst nicht ins wlan komme
> oder?
>
> Danke, Gruß
>
>
>
>
>
> Am 22.06.2014 16:15, schrieb Kevin Holly:
>> On 21/06/14 17:17, casibu wrote:
>>
>>> Am 21.06.2014 16:48, schrieb Chris:
>>>> On 06/20/2014 10:22 PM, casibu wrote:
>>>>> Gibt es dazu eine saubere Lösung. Ich dachte daran das
>>>>> Default Gateway zu löschen, weiß aber nicht ob das so
>>>>> funktioniert.
>>>> Mach doch einfach eine OUTPUT und ggf. FORWARD iptables
>>>> Regel, die nur Verbindungen zum VPN-Server zulässt.
>>>>
>>
>>> Hallo Chris,
>>
>>> wie wäre denn folgende Lösung?
>>
>>> | iptables -F OUTPUT iptables -I OUTPUT -d VPNSERVER -p udp -j
>>> ACCEPT iptables -I OUTPUT -s VPNIP -d VPNNETZWERK -j ACCEPT
>>> iptables -I OUTPUT -j DROP |
>> Mit den Rules würdest du dich komplett aussperren, denn:
>>
>> Du machst einen Flush auf die OUTPUT chain. Du legst eine Regel
>> an erster Stelle an. Du legst eine weitere Regel an erster Stelle
>> an (-I INPUT) und drückst damit die vorherige nach unten. Du
>> legst noch eine weitere Regel an erster Stelle an (-I INPUT -j
>> DROP) und drückst damit die beiden vorherigen ACCEPT's nach
>> unten.
>>
>> Hast also quasi im Endeffekt dein Ruleset so aufgebaut:
>>
>> iptables -F OUTPUT iptables -A OUTPUT -j DROP iptables -A OUTPUT
>> -s VPNIP -d VPNNETZWERK -j ACCEPT iptables -A OUTPUT -d
>> VPNSERVER -p udp -j ACCEPT
>>
>> Das -A macht ein Append, das -I ein Insert an der Stelle, wo du
>> angibst, dass er inserten soll. Du hast allerdings nicht
>> angegeben, desewgen ist "(default 1=first)".
>>
>>
>>> Dann müsste ich, nach einem disconnect vom WLAN, die iptables
>>> Regel erst löschen, dann mit wlan verbinden, und dann erst
>>> wieder die vpn Verbindung aufbauen?
>>
>>
>>
>>> ------------------------------------------------- VFEmail.net
>>> <http://www.vfemail.net> *ONLY AT VFEmail!* - Use our
>>> *Metadata Mitigator*™ to keep your email out of the NSA's
>>> hands! $24.95 ONETIME Lifetime accounts with Privacy Features!
>>> No Bandwidth Quotas! 15GB disk space! Commercial and Bulk
>>> Mail Options!
>>
>>
>>
>>
>
>
>
>
> ------------------------------------------------- VFEmail.net
> <http://www.vfemail.net> *ONLY AT VFEmail!* - Use our *Metadata
> Mitigator*™ to keep your email out of the NSA's hands! $24.95
> ONETIME Lifetime accounts with Privacy Features! No Bandwidth
> Quotas! 15GB disk space! Commercial and Bulk Mail Options!
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iQEcBAEBAgAGBQJTqLGDAAoJELAaqP3QtzpMjm8H/2NcIusAOhulVISsG3yVvshp
RtbR6KRirXP1bAsbHXAeUUixoMWQ4NaNA3cc5TZhRrlaYu3/WOxTmhND9MFrl5bq
OS3EAfqqtJBrobYzpQ6Lw6fkTr9yth/PxgAdg0YTOlMSpx3ZETGlV4ZTpUMRjvcv
rVCEnJZqRAOCE9LQv6gorJI/aO+ZYx1iFjeKleqAx4YTPU0xSn/7WKnrpUB9lr9P
U/XYe6uhHnVEipoMnUgvGp5SpwfPVg9v+rdvLKftZzWlMTO/k3e/gC1olZ2K2vTI
2WBxxOZkphQ2/y7YSQ2ZBkohTlGyU7Wgij0DM3u0RWY4uXPH73HUU0Fmu1bCEmM=
=s/Sg
-----END PGP SIGNATURE-----
Reply to: