vpn mit nftables absichern

[devnull11]

Hallo,

wie kann man mit nft einen Killswitch für eine VPN Verbindung bauen? Also in etwa sowas wie: Erlaube nur Verbindungen über physische Adapter zu $IPadressendesVPNProviders und alles andere nur über tun0? Geht das einigermaßen "einfach" oder wird das komplizierter?

[TomL]

wie kann man mit nft einen Killswitch für eine VPN Verbindung bauen? Also in etwa sowas wie: Erlaube nur Verbindungen über physische Adapter zu $IPadressendesVPNProviders und alles andere nur über tun0? Geht das einigermaßen "einfach" oder wird das komplizierter?

Sorry, aber das kann man leider überhaupt nicht verstehen. Ein Kill-Switch ist i.ü.S. ein Not-Aus, das hat nix mit der Weiterleitung von Paketen in die eine oder andere Richtung zu tun. Und Pakete für beide Interfaces landen bei $IPadressendesVPNProviders. Wie soll das überhaupt funktionieren, Pakete über phys. NIC ohne Tunnel zu $IPadressendesVPNProviders und Pakete über tun0 mit Tunnel zu $IPadressendesVPNProviders? So funktioniert das imho nicht. Man kann allerdings bei OpenVPN vorgeben, dass Pakete für lokale Empfänger nicht durchs VPN gehen. Aber ich vermute, dass es darum nicht geht.

Du solltest hier noch mal erklären, was genau am Ende dabei rauskommen soll.

[bluestar]

wie kann man mit nft einen Killswitch für eine VPN Verbindung bauen?

Ja

Geht das einigermaßen "einfach" oder wird das komplizierter?

Ich kann dir die genaue NFT-Syntax nicht sagen, aber etwa so:
1) INPUT + OUTPUT + FORWARD => Default Policy DROP
2) INPUT + OUTPUT => Freigabe deines VPN-Tunnels
3) INPUT + OUTPUT => Freigabe von Device lo
4) INPUT + OUTPUT => Freigabe von Device tun0

ggfs. musst du auf dem LAN Device zumindest DHCP noch erlauben um deine IP nicht irgendwann zu verlieren.

[TomL]

wie kann man mit nft einen Killswitch für eine VPN Verbindung bauen?

Ja

Offensichtlich hast Du das Problem wirklich besser verstanden als ich.... Kannst Du mir erklären, was ein Killswitch mit der Selektion von Paketen zu tun hat, wenn beides auf $IPadressendesVPNProviders ankommen soll? Das habe ich nämlich nicht kapiert.

Ich kann dir die genaue NFT-Syntax nicht sagen, aber etwa so:
1) INPUT + OUTPUT + FORWARD => Default Policy DROP
2) INPUT + OUTPUT => Freigabe deines VPN-Tunnels
3) INPUT + OUTPUT => Freigabe von Device lo
4) INPUT + OUTPUT => Freigabe von Device tun0
ggfs. musst du auf dem LAN Device zumindest DHCP noch erlauben um deine IP nicht irgendwann zu verlieren.

Und auch hier sehe ich nur einen ersten Ansatz funktionaler Logik, verstehe aber wieder nicht, was das mit einem Killswitch zu tun hat. Kann es sein, dass ich hierbei völlig falsche Vorstellungen habe?

[bluestar]

Killswitch

Das Wort Killswitch ist hier von dem TE auch eher missverständlich gewählt, er beschreibt einfach den Wunsch nach Firewall-Regeln die jeglichen Traffic am VPN vorbei blockieren... sozusagen ein "NON-VPN-Traffic"-Killswitch ....