Re: [Lista Criptica] Firewall per evitar leaks abans de con…

Delete this message

Reply to this message
Author: Dhole
Date:  
To: Criptica - Llista de debat
Subject: Re: [Lista Criptica] Firewall per evitar leaks abans de connectar-se a una VPN
> Ara, aquesta configuració té una pega: amb les wi-fi obertes que demanen
> login per navegador (portals captius), s'han de deshabilitar les regles
> temporalment. Se us acut alguna manera de millorar-ho?


Si!

Jo tinc unes regles amb iptables (que em va costar prou d'aconseguir fer
funcionar) que bloquegen el trafic que no passa per la VPN (es a dir,
que no va dirigit a la interficie de xarxa virtual de la VPN) excepte
per a un usuari concret, que convenientment he anomenat "novpn".
Llavors en cas de portals captius, obro una instancia del firefox amb
aquest usuari, faig el que calgui, i un cop tinc acces a internet la VPN
ja es pot connectar.

Configurar iptables es una mica complicat, aixi que m'abstenc d'explicar
exactament com funciona (fa temps que ho vaig fer i ara m'ho hauria de
mirar be per saber com funciona en detall). Adjunto el script que uso,
la funcio rellevant es la que es diu "novpn". Per a que funcioni, cal
tenir afegit un usuari que es digui tambe "novpn". La resta del script
es la configuracio del firewall general. Per la part de "novpn" cal
ficar manualment el gateway (pero aixo es podria automatitzar si us hi
fiqueu una estona).

Demano disculpes perque el script te una barreja de comandes de iptables
i ufw*, aixo es perque vaig comensar a usar ufw, pero quan vaig voler
configurar un usuari que es pogues saltar la VPN ufw es quedava curt
aixi que vaig haver de combinar ufw amb iptables.

*ufw es una interfas per usar iptables de forma amigable.

https://paste.debian.net/hidden/0b7c3fc3/

--
Dhole