Seite 1 von 1
vpn mit nftables absichern
Verfasst: 07.02.2020 09:06:39
von devnull11
Hallo,
wie kann man mit nft einen Killswitch für eine VPN Verbindung bauen? Also in etwa sowas wie: Erlaube nur Verbindungen über physische Adapter zu $IPadressendesVPNProviders und alles andere nur über tun0? Geht das einigermaßen "einfach" oder wird das komplizierter?
Re: vpn mit nftables absichern
Verfasst: 07.02.2020 10:37:50
von TomL
devnull11 hat geschrieben: 
07.02.2020 09:06:39
wie kann man mit nft einen Killswitch für eine VPN Verbindung bauen? Also in etwa sowas wie: Erlaube nur Verbindungen über physische Adapter zu $IPadressendesVPNProviders und alles andere nur über tun0? Geht das einigermaßen "einfach" oder wird das komplizierter?
Sorry, aber das kann man leider überhaupt nicht verstehen. Ein Kill-Switch ist i.ü.S. ein Not-Aus, das hat nix mit der Weiterleitung von Paketen in die eine oder andere Richtung zu tun. Und Pakete für beide Interfaces landen bei $IPadressendesVPNProviders. Wie soll das überhaupt funktionieren, Pakete über phys. NIC ohne Tunnel zu $IPadressendesVPNProviders und Pakete über tun0 mit Tunnel zu $IPadressendesVPNProviders? So funktioniert das imho nicht. Man kann allerdings bei OpenVPN vorgeben, dass Pakete für lokale Empfänger nicht durchs VPN gehen. Aber ich vermute, dass es darum nicht geht.
Du solltest hier noch mal erklären, was genau am Ende dabei rauskommen soll.
Re: vpn mit nftables absichern
Verfasst: 07.02.2020 11:25:33
von bluestar
devnull11 hat geschrieben: 07.02.2020 09:06:39
wie kann man mit nft einen Killswitch für eine VPN Verbindung bauen?
Ja
devnull11 hat geschrieben: 07.02.2020 09:06:39
Geht das einigermaßen "einfach" oder wird das komplizierter?
Ich kann dir die genaue NFT-Syntax nicht sagen, aber etwa so:
1) INPUT + OUTPUT + FORWARD => Default Policy DROP
2) INPUT + OUTPUT => Freigabe deines VPN-Tunnels
3) INPUT + OUTPUT => Freigabe von Device lo
4) INPUT + OUTPUT => Freigabe von Device tun0
ggfs. musst du auf dem LAN Device zumindest DHCP noch erlauben um deine IP nicht irgendwann zu verlieren.
Re: vpn mit nftables absichern
Verfasst: 07.02.2020 11:42:20
von TomL
bluestar hat geschrieben: 07.02.2020 11:25:33
devnull11 hat geschrieben: 07.02.2020 09:06:39
wie kann man mit nft einen Killswitch für eine VPN Verbindung bauen?
Ja
Offensichtlich hast Du das Problem wirklich besser verstanden als ich....
Kannst Du mir erklären, was ein Killswitch mit der Selektion von Paketen zu tun hat, wenn beides auf $IPadressendesVPNProviders ankommen soll? Das habe ich nämlich nicht kapiert.
Ich kann dir die genaue NFT-Syntax nicht sagen, aber etwa so:
1) INPUT + OUTPUT + FORWARD => Default Policy DROP
2) INPUT + OUTPUT => Freigabe deines VPN-Tunnels
3) INPUT + OUTPUT => Freigabe von Device lo
4) INPUT + OUTPUT => Freigabe von Device tun0
ggfs. musst du auf dem LAN Device zumindest DHCP noch erlauben um deine IP nicht irgendwann zu verlieren.
Und auch hier sehe ich nur einen ersten Ansatz funktionaler Logik, verstehe aber wieder nicht, was das mit einem Killswitch zu tun hat. Kann es sein, dass ich hierbei völlig falsche Vorstellungen habe?
Re: vpn mit nftables absichern
Verfasst: 07.02.2020 12:10:54
von bluestar
TomL hat geschrieben: 07.02.2020 11:42:20
Killswitch
Das Wort Killswitch ist hier von dem TE auch eher missverständlich gewählt, er beschreibt einfach den Wunsch nach Firewall-Regeln die jeglichen Traffic am VPN vorbei blockieren... sozusagen ein "NON-VPN-Traffic"-Killswitch ....