Отфильтровать OpenVPN трафик

[darzanebor]

Нужно сделать сабж. Нашел идейку в инете тут (Some other points). Понимаю что жуткий геморрой с OpenVPN'ом, но все же м.б. кто сталкивался?

[drako]

Что понимается под словом отфильтровать?

[darzanebor]

-j DROP

[podkovyrsty]

-j DROP

Что?

[darzanebor]

в сетке блочится p2p c помощью ipp2p, а обходится OpenVPN'ом, вот мне и нужно его отловить

[drako]

Сдается мне, что заблокировать его можно только жесткими разрешающими правилами. Хотя возможно есть признаки по которым можно отловить сии пакеты - тут надобно fisher74 заловить, он у нас его походу вдоль и поперек знает.

[darzanebor]

Вот мне и интересно, в какую сторону копать с таким веселым вопросом  
Нашел кое какие идеи на данную тему за 2004 год, не буду переводить, ненубы и так прочитают:

Some other points:

* OpenVPN can tunnel through an HTTP proxy, but in a secure environment,
HTTP proxies should be password protected.  OpenVPN, like any other HTTP
proxy-aware app, needs to have the password in order to tunnel through it.

* OpenVPN can use any TCP or UDP port number.  What it will not do is
change the application protocol to match what the traffic over that port
should look like.  For example, you raise the possibility that someone
could use OpenVPN on the rsync port of 873.  But that should be
immediately detectable when you see that someone is passing data over port
873 which is not recognizable as an rsync connection.

* The very fact that OpenVPN may use a 100% encrypted protocol is a marker
in itself.  If you have a firewall which blocks unrecognized application
protocols, you will block OpenVPN.

[fisher74]

Не, не знаю по каким признакам его можно заблочить. Никогда не задавался этим вопросом.
Пользователь решил продолжить мысль 27 Апреля 2011, 20:37:22:Непонятно только зачем это нужно? Конечный траффик всё равно гонится через сервер VPN.

[darzanebor]

Я наверное не так выразился, в сетке блочится p2p но оч. умные люди обходят OpenVPN туннелем. Шлюз не через тунель для сетки...
P.S. пару идей от буржуев в посте выше, вот сижу размышляю

[es1840]

А может просто документацию для начала почитать - все, быть может, и прояснится.
OpenVPN - open source проект - никто ничего не скрывает...

2.1
Services and TCP/UDP Ports
The OpenVPN Access Server provides three network services:
Network Service           TCP or UDP        Default
VPN Server                 TCP/UDP
                                                                       TCP port 443, if forwarding
                                                                        service for Connect Client
                                                                        UDP port 1194



Connect Client TCP            TCP                port 443 (via service forwarding)
(HTTPS)                                                        port 943 (direct)
Admin Web UI                      TCP                port 443 (via service forwarding)
(HTTPS)                                                        port 943 (direct)

http://openvpn.net/images/pdf/OpenVPN_Access_Server_v1_6_Sysadmin_Guide_Rev_1.pdf

Внимательно почитать, прикрыть порты - делов-то...

[darzanebor]

И что мне это даст, то что вы привели выше? наверное чет я туплю   а скорее вы никогда с OpenVPN'ом дела не имели, а если имели обьясните мне сущеглупому, что это вы там перекрывать собрались?

[es1840]

И что мне это даст, то что вы привели выше? наверное чет я туплю  

Вы так бысто документацию прочитали?
И вправду говорят, что англоязычную документацию быстрее всех читают русскоязычные пользователи.

А в целом это ничего не даст - ТРУСИТЬ/извиняюсь/ фильтровать надо...

Порты, протоколы, способы указаны, расписаны - что еще надо???

P.S. С VPN ( в т.ч. OPenVPN) 2 года провел, еле здыхался, что там особенного?
Skype super-node - и тот режется на раз (фильтруется)...

[darzanebor]

Вы сами поняли что сказали? Еще раз, что там указано??? Какие порты??? Какие протоколы??? доки я прочел давно и статью в своем блоге написал, так что вроде читал, а видно понять ничего непонял

оффтоп:
Комьюнити скажите я дурак->?

[fisher74]

Соглашусь с darzanebor, про порты - это не то. В конфигах легко выставляется любой порт и любой тип пртокол, хоть tcp, хоть udp. После какой-то версии (уже достаточно давно) его даже научили через HTTP-прокси ходить , хоть и исключтельно по tcp.
Ещё усложняет проблему идентификации то, что траффик опенвпн - шифрованный. С одной стороны можно, как это пишут в вышеуказанном сообщении, использовать шифрование, как идентификатор, но ... Не только же OpenVPN использует шифрацию, теже банковские проги - те тоже шифруются...

[darzanebor]

+1 Спасибо, четко и ясно особливо для тех кто читал мануалы