Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Отфильтровать OpenVPN трафик  (Прочитано 1473 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн darzanebor

  • Автор темы
  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Отфильтровать OpenVPN трафик
« : 27 Апреля 2011, 19:50:10 »
Нужно сделать сабж. Нашел идейку в инете тут (Some other points). Понимаю что жуткий геморрой с OpenVPN'ом, но все же м.б. кто сталкивался?
« Последнее редактирование: 27 Апреля 2011, 20:33:41 от darzanebor »

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #1 : 27 Апреля 2011, 20:11:31 »
Что понимается под словом отфильтровать?

Оффлайн darzanebor

  • Автор темы
  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #2 : 27 Апреля 2011, 20:21:26 »
-j DROP

Оффлайн podkovyrsty

  • Старожил
  • *
  • Сообщений: 1547
  • Content-Type: alternative
    • Просмотр профиля
Шаг за шагом можно достичь цели.

Оффлайн darzanebor

  • Автор темы
  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #4 : 27 Апреля 2011, 20:24:08 »
в сетке блочится p2p c помощью ipp2p, а обходится OpenVPN'ом, вот мне и нужно его отловить :)

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #5 : 27 Апреля 2011, 20:30:43 »
Сдается мне, что заблокировать его можно только жесткими разрешающими правилами. Хотя возможно есть признаки по которым можно отловить сии пакеты - тут надобно fisher74 заловить, он у нас его походу вдоль и поперек знает.

Оффлайн darzanebor

  • Автор темы
  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #6 : 27 Апреля 2011, 20:34:20 »
Вот мне и интересно, в какую сторону копать с таким веселым вопросом  :)
Нашел кое какие идеи на данную тему за 2004 год, не буду переводить, ненубы и так прочитают:
Цитировать
Some other points:

* OpenVPN can tunnel through an HTTP proxy, but in a secure environment,
HTTP proxies should be password protected.  OpenVPN, like any other HTTP
proxy-aware app, needs to have the password in order to tunnel through it.

* OpenVPN can use any TCP or UDP port number.  What it will not do is
change the application protocol to match what the traffic over that port
should look like.  For example, you raise the possibility that someone
could use OpenVPN on the rsync port of 873.  But that should be
immediately detectable when you see that someone is passing data over port
873 which is not recognizable as an rsync connection.

* The very fact that OpenVPN may use a 100% encrypted protocol is a marker
in itself.  If you have a firewall which blocks unrecognized application
protocols, you will block OpenVPN.

« Последнее редактирование: 27 Апреля 2011, 20:37:29 от darzanebor »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #7 : 27 Апреля 2011, 20:34:50 »
Не, не знаю по каким признакам его можно заблочить. Никогда не задавался этим вопросом.

Пользователь решил продолжить мысль 27 Апреля 2011, 20:37:22:
Непонятно только зачем это нужно? Конечный траффик всё равно гонится через сервер VPN.
« Последнее редактирование: 27 Апреля 2011, 20:37:22 от fisher74 »

Оффлайн darzanebor

  • Автор темы
  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #8 : 27 Апреля 2011, 20:39:48 »
Я наверное не так выразился, в сетке блочится p2p но оч. умные люди обходят OpenVPN туннелем. Шлюз не через тунель для сетки...
P.S. пару идей от буржуев в посте выше, вот сижу размышляю
« Последнее редактирование: 27 Апреля 2011, 20:41:38 от darzanebor »

Оффлайн es1840

  • Активист
  • *
  • Сообщений: 328
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #9 : 27 Апреля 2011, 20:48:30 »
А может просто документацию для начала почитать - все, быть может, и прояснится.
OpenVPN - open source проект - никто ничего не скрывает...
Цитировать
2.1
Services and TCP/UDP Ports
The OpenVPN Access Server provides three network services:
Network Service           TCP or UDP        Default
VPN Server                 TCP/UDP
                                                                       TCP port 443, if forwarding
                                                                        service for Connect Client
                                                                        UDP port 1194



Connect Client TCP            TCP                port 443 (via service forwarding)
(HTTPS)                                                        port 943 (direct)
Admin Web UI                      TCP                port 443 (via service forwarding)
(HTTPS)                                                        port 943 (direct)

http://openvpn.net/images/pdf/OpenVPN_Access_Server_v1_6_Sysadmin_Guide_Rev_1.pdf

Внимательно почитать, прикрыть порты - делов-то...
« Последнее редактирование: 27 Апреля 2011, 20:50:21 от es1840 »

Оффлайн darzanebor

  • Автор темы
  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #10 : 27 Апреля 2011, 20:49:58 »
И что мне это даст, то что вы привели выше? наверное чет я туплю  :) а скорее вы никогда с OpenVPN'ом дела не имели, а если имели обьясните мне сущеглупому, что это вы там перекрывать собрались?
« Последнее редактирование: 27 Апреля 2011, 20:54:59 от darzanebor »

Оффлайн es1840

  • Активист
  • *
  • Сообщений: 328
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #11 : 27 Апреля 2011, 20:56:13 »
И что мне это даст, то что вы привели выше? наверное чет я туплю  :)

Вы так бысто документацию прочитали?
И вправду говорят, что англоязычную документацию быстрее всех читают русскоязычные пользователи. ;D

А в целом это ничего не даст - ТРУСИТЬ/извиняюсь/ фильтровать надо... ;D

Порты, протоколы, способы указаны, расписаны - что еще надо???

P.S. С VPN ( в т.ч. OPenVPN) 2 года провел, еле здыхался, что там особенного?
Skype super-node - и тот режется на раз (фильтруется)...
« Последнее редактирование: 27 Апреля 2011, 20:59:20 от es1840 »

Оффлайн darzanebor

  • Автор темы
  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #12 : 27 Апреля 2011, 20:58:50 »
Вы сами поняли что сказали? Еще раз, что там указано??? Какие порты??? Какие протоколы??? доки я прочел давно и статью в своем блоге написал, так что вроде читал, а видно понять ничего непонял :)

оффтоп:
Комьюнити скажите я дурак->?
« Последнее редактирование: 27 Апреля 2011, 21:00:46 от darzanebor »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #13 : 27 Апреля 2011, 21:00:55 »
Соглашусь с darzanebor, про порты - это не то. В конфигах легко выставляется любой порт и любой тип пртокол, хоть tcp, хоть udp. После какой-то версии (уже достаточно давно) его даже научили через HTTP-прокси ходить , хоть и исключтельно по tcp.
Ещё усложняет проблему идентификации то, что траффик опенвпн - шифрованный. С одной стороны можно, как это пишут в вышеуказанном сообщении, использовать шифрование, как идентификатор, но ... Не только же OpenVPN использует шифрацию, теже банковские проги - те тоже шифруются...

Оффлайн darzanebor

  • Автор темы
  • Активист
  • *
  • Сообщений: 350
    • Просмотр профиля
Re: Отфильтровать OpenVPN трафик
« Ответ #14 : 27 Апреля 2011, 21:05:02 »
+1 Спасибо, четко и ясно особливо для тех кто читал мануалы  ;)
« Последнее редактирование: 27 Апреля 2011, 21:08:01 от darzanebor »

 

Страница сгенерирована за 0.033 секунд. Запросов: 25.