Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
-
melone
- Beiträge: 88
- Registriert: 29.09.2011 00:23:00
Beitrag
von melone » 03.08.2013 08:18:09
Ich benutze ein Skript um bei Abbruch der VPN-Verbindung keine Internetverbindungen mehr durchzulassen.
Code: Alles auswählen
iptables -F
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -s 99.99.99.99 -j ACCEPT
iptables -A OUTPUT -d 99.99.99.99 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
99.99.99.99 wäre meine VPN-IP.
Fragen:
1. Ist das ganze sicher? Könnte meine echte IP trotzdem geleakt werden? DNS-Leaks sind ausgeschlossen.
2. Wie kann ich das Skript nach einem Neustart automatisch starten? Sonst muss ich es jedes mal mit ./vpn starten.
Grüße.
-
syssi
- Beiträge: 2951
- Registriert: 24.12.2010 16:50:59
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rheinland
Beitrag
von syssi » 03.08.2013 12:23:11
Zu 2. Du benutzt doch sicher /etc/network/interfaces, um deine Netzwerkgeraete zu konfigurieren. Wenn das der Fall ist, dann genuegt das ergaenzen einer "pre-up"-Zeile:
Code: Alles auswählen
...
pre-up /sbin/iptables-restore < /etc/iptables.rules
Die Datei /etc/iptables.rules ist die gespeicherte Ausgabe von "iptables-save". Folglich definierst du all deine iptables-Regeln, wie du sie gerne haettest. Dann fuehrst du einmal "iptables-save > /etc/iptables.rules" aus und in Zukunft wird diese Konfiguration bei jedem "uppen" des Netzwerkgeraetes eingelesen. Alternativ kannst du auch an dieser Stelle einfach dein eigenes Skript ausfuehren. (vgl.
https://wiki.debian.org/DebianFirewall Abschnitt /etc/network/interfaces).
Gruss syssi
-
melone
- Beiträge: 88
- Registriert: 29.09.2011 00:23:00
Beitrag
von melone » 01.09.2013 11:05:54
Vielen Dank! Werde es ausprobieren und dann bescheid sagen ob es funktioniert.
-
wanne
- Moderator
- Beiträge: 7624
- Registriert: 24.05.2010 12:39:42
Beitrag
von wanne » 01.09.2013 15:03:39
melone hat geschrieben:1. Ist das ganze sicher? Könnte meine echte IP trotzdem geleakt werden? DNS-Leaks sind ausgeschlossen.
Da gibt es viele Möglcihkeiten. z.B ein Browser mit aktiviertem Java oder Flash. (Wobei die Java-methode mit aktuallem icetea in meinen Tests immer nur die 127.0.0.1 zurück lifert.)
Torrent versendet immer die eigene IP genauso E-Mail oder ICQ (je nach Client).
rot: Moderator wanne spricht, default: User wanne spricht.
-
melone
- Beiträge: 88
- Registriert: 29.09.2011 00:23:00
Beitrag
von melone » 02.09.2013 07:49:56
Flash und Java ist nicht installiert.
ICQ und Torrent ignorieren openVPN? Wie kommt das? Wie kann man es verhindern? Ich dachte sobald OpenVPN läuft, dass alles dadurch geleitet wird.
-
wanne
- Moderator
- Beiträge: 7624
- Registriert: 24.05.2010 12:39:42
Beitrag
von wanne » 02.09.2013 15:18:49
Die Ignorierens es nicht. Da wird schön alles durchgeleitet. Nur Senden die meines Wissens die Eigene IP im Payload mit. (Also Die senden von der VPN-IP aus die echte IP.)
KTorrent bietet die Möglichkeit einzutragen welche IP man senden will. (Da kann man auch den Élysée-Palast eintragen. (Haben einige zu den Anfangzeiten von HADOPI gemacht.)) Das ist ganz sinnvoll, wenn man schnell wechselnde IPs hat. Dann kann man dann auch dyn-dns-Namen eintragen.
Nach was für einem Schema die das Interface (bzw. welche Adresse von dem Interface) aussuchen, habe ich aber noch nicht kapiert. Icetea-Java scheint schlicht die von lo (::1) zu nehmen und verrät deswegen gar nichts.
rot: Moderator wanne spricht, default: User wanne spricht.
