Не пропускаем трафик мимо впн

Admin

Original poster
Administrator
Сообщения
909
Реакции
751
Посетить сайт
OpenVPN - относительно безопасный инструмент, но лишь при его правильном использовании.

Дело в том, что запуская OpenVPN он не блокирует (и не шифрует) трафик, который может пройти мимо vpn в случае, если ваш сервер vpn по каким-то причинам стал недоступен, либо у вас временно пропала связь. Для того чтобы обезопасить отправляемую и принимаемую информацию необходимо настроить фаервол на стороне клиента таким образом, дабы ему можно было отправлять и принимать пакеты лишь с одного и на один сервер, то есть лишь на ваш vpn-сервер, все остальные подключения должны отсекаться.

Настраиваем iptables
Cоздаём файл со следующим содержанием:

Код:
*filter
:INPUT DROP [145:11482]
:FORWARD DROP [0:0]
:OUTPUT DROP [18518:3426455]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d XXX.XXX.XXX.XXX/32 -p tcp -j ACCEPT
-A OUTPUT -d XXX.XXX.XXX.XXX/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -o tun1 -j ACCEPT
COMMIT
Где XXX.XXX.XXX.XXX - адрес VPN-сервера.

Кладём его например в /etc/openvpn/iptables.rules.

NB! обратите внимание на то, нет ли в вашем iptables каких-либо правил по команде iptables-save, если есть - добавьте в конфиг, иначе они затрутся; либо перепишите правила командами iptables

Пишем удобные скрипты запуска OpenVPN

По тому же адресу создаём скрипт /etc/openvpn/vpn_up.sh:
Код:
#!/bin/sh

# подгружаем правила [статья с https://ufolabs.pro]
iptables-restore </etc/openvpn/iptables.rules
# запускаем openvpn в screen (если его нет, то ставим, либо используем nohup)
screen -dmS openvpn --config /etc/openvpn/config.ovpn
Где /etc/openvpn/config.ovpn - путь к вашему конфигу.
Запускаем OpenVPN и применяем правила iptables при загрузке системы

Добавляем в файл /etc/rc.local запуск скрипта:
Код:
...
/bin/sh /etc/openvpn/vpn_up.sh
...
Смотрим статус/отключаем OpenVPN

Бывают ситуации когда OpenVPN перестаёт работать и необходимо посмотреть что произошло, либо его вообще необходимо отключить.

Логинимся под root и заходим в screen:
Код:
$ sudo su
# screen -x openvpn
Смотрим всё ли в порядке, если что - отключаем по сочетанию Ctrl+C.

Но это не всё, необходимо обнулить правила фаервола, чтобы он пустил нас без VPN.

Создаём скрипт ~/.bin/iptables_flush:
Код:
#!/bin/sh

echo "Stopping firewall and allowing everyone..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Выполняем, готово!
 

farhad.tiger

Pro Member
Сообщения
224
Реакции
101
Посетить сайт
WEB RTC все равно пробьет сквозь VPN. Можете зайти на whoer.net с любым VPN и убедиться в том, что там отобразиться в вкладке WEB RTC ваш реальный ip. Единственный способ защититься на 100% это VPN на роутере.
 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Арестовали, но не удержали: лидер Black Basta сбежал прямо из зала суда Новости в сети 0
Support81 Патчи не успевают: хакеры эксплуатируют уязвимости быстрее, чем их исправляют Новости в сети 0
Support81 Золотой век программистов закончился: почему в IT больше не будет космических зарплат Новости в сети 0
Support81 Дешевле – не значит лучше: как уязвимости DeepSeek уничтожают защиту бизнеса Новости в сети 1
Support81 Хакеры обходят защиту: почему антивирусы больше не гарант безопасности Новости в сети 0
Support81 Свобода слова не продаётся: Дуров уличил Meta в двойной игре Новости в сети 0
Support81 ChatGPT для бабушек: не понадобится даже смартфон Новости в сети 0
Support81 Конец MATRIX: преступные тайны больше не скрыты за шифрами Новости в сети 0
Support81 Урок не выучен: Onyx теряет $3,8 млн из-за старой уязвимости Новости в сети 0
Support81 Думаете, VPN спасает вас от слежки? Это не так Новости в сети 0
Support81 Teletoken: Telegram-боты больше не анонимны Новости в сети 0
Support81 CVE-2024-38217: почему 0day в Windows не могли обнаружить целых 6 лет? Новости в сети 0
Support81 D-Link: «Да, в нашем роутере 4 дыры, но исправлять их мы не планируем» Новости в сети 0
Support81 Windows Downdate: ни одно обновление не спасёт ваш компьютер от кибератаки Новости в сети 0
Support81 На телефон поступил одноразовый код? Похоже, он предназначен не для вас Новости в сети 0
V Не сложная работа! Предоставляю работу. Ищу специалиста. 0
Support81 Shedding Zmiy - не просто хакеры: 2 года профессиональной охоты на российские секреты Новости в сети 0
Support81 Фишинговые мамонты: как не стать жертвой Scam 1.0 и Scam 2.0? Новости в сети 0
Support81 Хорошев или не Хорошев? Могло ли ФБР ошибиться, связав мужчину с вымогательской империей LockBit Новости в сети 0
Support81 ФБР: «Прогорели на левом обменнике? Не наши проблемы» Новости в сети 0
K GarryPay.com, @RobiGarry - не выполняет обязательства и не возвращает деньги Black list и Разборки 2
Support81 Эпидемия малвертайзинга: почему блокировщики рекламы – не просто удобство, а необходимость Новости в сети 0
JohnDeniels На проверке Разработка скриптов, сайтов, ботов, копии страниц, профессионально, быстро, не дорого! Ищу работу. Предлагаю свои услуги. 1
Support81 X vs. мошенники: ссылки в постах ведут не туда Новости в сети 0
Emilio_Gaviriya Статья Active Directory – это не сложно. WiFi/Wardriving/Bluejacking 0
CodeBoB Продам Толковый кодер Сайты|Софт|Не дорого - Smart coder Websites|Soft|Not expensive Услуги дизайнеров/веб-разработчиков 0
Support81 Мир готовят к новой эпидемии: Кто не верит – три года тюрьмы Новости в сети 0
Support81 TinyTurla-NG пустила корни в польских организациях: прогнать хакеров не сможет уже никто Новости в сети 0
Support81 Автоматизация вымогательства: MrAgent не оставляет шансов виртуальным машинам Новости в сети 0
Emilio_Gaviriya Статья Почему двухфакторная аутентификация не всегда надежна? Уязвимости и взлом 0
Support81 Не только умный, но и опасный: темная сторона ИИ от Microsoft Новости в сети 0
Support81 Никто не может служить двум господам... Свободное общение и флейм 2
Support81 Google Карты больше не передают данные о местоположении правоохранительным органам Новости в сети 0
Support81 Охота на мамонтов продолжается: «Неандертальцы» не оставляют шанса пользователям Авито, Юлы и СДЭК Новости в сети 0
Support81 Пользователи Microsoft 365 рискуют потерять аккаунт: не спасёт даже МФА Новости в сети 0
Support81 В деле хакеров REvil не нашли нарушения подследственности Новости в сети 0
I Прием: Шеллы, лом, дорвеи, любой спам, pops и другие источники не целевого трафика Доступы - FTP, shell'ы, руты, sql-inj, БД 5
Support81 Победителей не будет: авторы Tor вступают в неравный бой с DDoS-атаками Новости в сети 0
АнАлЬнАя ЧуПаКаБрА Проверено Сервис с Гифтами, Ключами игр, Вывод баланса (Валид не нужен) Продажа софта 0
КАРНАВАЛЬНЫЙ Ищу людей со всей РФ в свою команду для разовых заданий! Не Нарко Предоставляю работу. Ищу специалиста. 1
turbion0 Интересно QIWI ограничил вывод средств с кошельков. Не больше 1000 рублей в месяц и запрет на СБП Новости в сети 0
turbion0 Интересно Не подключившихся к «суверенному интернету» провайдеров ждут штрафы Новости в сети 0
turbion0 Статья Тинькофф Банк с 31 июля начнет взимать комиссию за пополнение карт «Мир» через банкоматы других банков, не входящих в число партнеров. Сейчас в банке Новости в сети 1
Support81 Хакеры больше не плачут: доходы от вымогательских атак в этом году резко возросли Новости в сети 1
C На проверке Вывод роликов YouTube в топ|Не сео|Нам нету равных Ищу работу. Предлагаю свои услуги. 1
Lirik in code Закрыто Разработка скриптов, сайтов, ботов, копии страниц, профессионально, быстро, не дорого. Корзина 1
D Как поставить лайк? или убрать хайд? может ли не показываться кнопка лайка? Вопросы и интересы 7
T Закрыто Crypto фишинги и не только Корзина 1
Novgarant Закрыто Фото документов+Селфи USA/EU/Азия Не юзаные / ID Photo+Selfies USA/EU/Asia Unused Корзина 1
С Продам SeedCheck - Чекер Seed Фраз | Seed Phrase Checker - Не панель Сайты/Хостинг/Сервера 3

Название темы