Форум русскоязычного сообщества Ubuntu


Автор Тема: Ubuntu 14.04 - ограничение трафика при помощи Firewall.  (Прочитано 1169 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Kubun

  • Автор темы
  • Любитель
  • *
  • Сообщений: 54
    • Просмотр профиля
Юзаю VPN соединение.
Для пущей надежности хочу ограничить весь исходящий и входящий трафик, только через VPN.

Возможно ли это сделать средствами встроенного в систему Firewall?

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
"Вам нужно ехать или шашечки?" ©
Первый раз слышу, что надёжность увеличивается с помощью фаервола. Если, конечно, Вас не DDoS-ят.

Или Вы очередной пострадавший осеннего обострения паранойи?

Пользователь решил продолжить мысль 25 Ноябрь 2014, 20:35:19:
Дабы не причисляли меня в список постонакопителей отвечу на поставленный вопрос:
Да, ограничение трафика только через VPN можно с помощью netfilter (и даже без его участия).
Естественно, пакеты самого собственно туннеля будут идти через основной интерфейс (и не обязательно физический).
« Последнее редактирование: 25 Ноябрь 2014, 20:35:19 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Kubun

  • Автор темы
  • Любитель
  • *
  • Сообщений: 54
    • Просмотр профиля
Короче, только что проверял WireShark  свой VPN.
Все не годится.

Пакеты пролетают. Фирменная прога где то недорабатывает.
Если из под винды шурует именно IP VPN то тут хреначит и IP прова временами.

Короче VPN не VPN.




Пользователь решил продолжить мысль 25 Ноябрь 2014, 21:45:36:
"Вам нужно ехать или шашечки?" ©
Первый раз слышу, что надёжность увеличивается с помощью фаервола. Если, конечно, Вас не DDoS-ят.

Или Вы очередной пострадавший осеннего обострения паранойи?

Пользователь решил продолжить мысль 25 Ноябрь 2014, 20:35:19:
Дабы не причисляли меня в список постонакопителей отвечу на поставленный вопрос:
Да, ограничение трафика только через VPN можно с помощью netfilter (и даже без его участия).
Естественно, пакеты самого собственно туннеля будут идти через основной интерфейс (и не обязательно физический).


Я не пытаюсь тут тягаться в славословии.

Моя задача - скрыть полностью свой IP, перекрыть все порты, настроить машину с точки зрения максимальной безопасности.

Linux выбрал собственно по причине того что есть ряд факторов которые ЗА.
1) Устойчивость к зоопарку вредоносного РС софта.
2) Другая файловая структура.
3) Возможность кодирования всего содержимого.(что в случае утери  не заставит думать о том, что потенциально ценная инфа попала в руки не тем людям)

Если вы можете помочь мне в этом аспекте - предлагаю перенести дальнейший разговор или в л.с. или в джабер.
Со свой стороны готов оплатить ваши услуги по разьяснению и помощи. Уже написал в другой ветке, что абсолютно серьезен в этом вопросе.

 
« Последнее редактирование: 25 Ноябрь 2014, 21:45:36 от Kubun »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Мда... Вам бы теорию подтянуть...

...и паранойю подлечить... да и с законом бы подружиться...
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Kubun

  • Автор темы
  • Любитель
  • *
  • Сообщений: 54
    • Просмотр профиля
Мда... Вам бы теорию подтянуть...

...и паранойю подлечить... да и с законом бы подружиться...

Не стоит давать советов человеку, который их не спрашивал.

Т.е. по факту вы нихрена не знаете, а просто срете в ветках, корча из себя умного.
Ок. Так и запишем.Вопросов больше не имею.

Оффлайн Genixoid

  • Новичок
  • *
  • Сообщений: 47
    • Просмотр профиля
Покажи, что уже сделано, чтобы можно было дать конкретные советы.

Оффлайн MooSE

  • Активист
  • *
  • Сообщений: 888
    • Просмотр профиля
Не стоит давать советов человеку, который их не спрашивал.

Т.е. по факту вы нихрена не знаете, а просто срете в ветках, корча из себя умного.
Ок. Так и запишем.Вопросов больше не имею.

Фу как некрасиво. Ну зачем хамить людям, которые вообщем вам ничем не обязаны?

По сабжу: если б у меня встала такая задача то я бы отталкивался от модуля owner в iptables. Т.е. для вашего uid запретил весь исходящий трафик кроме как на ppp или tun-интерфейсе, соответствующем вашему соединению. И всё.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Не стоит давать советов человеку, который их не спрашивал.
А я и не отвечал на вопрос, я сделал некоторые выводы вслух.
Т.е. по факту вы нихрена не знаете, а просто срете в ветках, корча из себя умного.
Дело в том, что я Вам ничего не должен, как и другие на этом ресурсе. Зарабатывать консультациями на этом форуме я не собираюсь - не в моих правилах. Да и сколько Вы мне заплатите? На пиво? Но видите ли я от спиртного, как и от табакокурения давно отказался, потому Ваша мелочёвка мне даже на маршрутку не понадобится, так как пользуюсь личным авто.
А посему я, как и многие другие, помогаем найти решение проблемы. ПОМОГАЕМ. То есть смотрим, где человек ошибается и корректируем. Либо конкретно указываем на ошибку, либо даём ссылки на доки, где можно найти ответ.
У Вас же только возгласы, что скачали какую-то прогу, которая держит VPN в тонусе.
Но она Вам не нравится и Вы хотите, чтобы она работала по другому. Хотите... Но для этого только "срёте" на форуме, что это надо сделать... Хотите, чтобы Вам написали что делать. Но даже не изволите говорить, что для этого сделали сами. (откуты по CloneZilla вообше тут не при чём)
По поводу закона... А зачем Вам параноидальный VPN через забугорные сервера? Ответ один: чтобы не определили Ваши противоправные деяния в рамках информации.

Теперь про Ваш вопрос. Я просто не успел ответить. Отвлёкся по семейным вопросам и забыл дописать.
Это можно сделать и не только средствами netfiler, но и простой маршрутизацией. Только, учитывая Вашу параною, не уверен, что Вас это удовлетворит.
« Последнее редактирование: 26 Ноябрь 2014, 08:43:49 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Kubun

  • Автор темы
  • Любитель
  • *
  • Сообщений: 54
    • Просмотр профиля
Не стоит давать советов человеку, который их не спрашивал.
А я и не отвечал на вопрос, я сделал некоторые выводы вслух.
Т.е. по факту вы нихрена не знаете, а просто срете в ветках, корча из себя умного.

Это можно сделать и не только средствами netfiler, но и простой маршрутизацией. Только, учитывая Вашу параною, не уверен, что Вас это удовлетворит.


Уважаемый "герой".
Вы уже и возможности мои финансовые посчитали, и в ряды идиотов-параноиков записать успели. Спасибо что еще открытым текстом не шлете на каждый вопрос куда подальше.

Если вы не заметили, то я уже третью неделю, в трех ветках как раз и пытаюсь решить данный вопрос "простой маршрутизацией" - именно так у меня и настроен VPN на Windows машине( и работает скажу я вам он просто замечательно) . Но вот незадача -  решить вопрос "простой маршрутизации" тут никто не может. 
Дали скрипт ( и на том спасибо) но куда его пилить - пока не понятно.

Вроде бы все понятно, но одновременно ничего и не понятно.



Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Где это я про Ваши финансы говорил? С моей стороны про них ни слова не было сказано. Вы да, жаловались, что предыдущий поставщик VPN весьма дорогой.
Ах да.. Вы про оплату услуг... Я не имел ввиду, что Вы сможете заплатить только копейки. Просто эта работа большего не стоит - провести минимальную диагностику и ввести пару управляющих команд. Это действительно копеечная работа.
А посылаю я только в документацию или другие информационные ресурсы, где вопрошающий может найти ответ. Бывает открытым текстом, бывает используя теги. Найти САМ.

И давайте посмотрим на Ваш вклад в решение Вашей-же проблемы.
Вся эпопея началась с того, что у Вас отваливался VPN без восстановления и Ваш, никому не нужный, секретный трафик шёл через основной адрес. Всё описание сходится к лирическому рассказу о происходящем, без упоминания каких-либо технический данных. Ни адресов, ни явок, то есть просто рассказ одного пользователя. Раз вопрос философский, то и ответ не далеко ушёл. Но соответсвует решению проблемы - "Курите маршрутизацию". Через пару сообщений уважаемый ArcFi всё же попробовал  повернуть ветку в сторону технических решений, предложив простенький скрипт по созданию маршрута до неизвестного пользователям форума VPN. И, наконец-то, к середине первой страницы ветки, из Вас вытянули хоть что-то про поставщика VPN. Пара сообщений  и... Вы меняете поставщика. Получили от нового поставщика софтину которая делает коннект и реконнект... И она Вас не удовлетворила.... "проскакивают пакеты через основной шлюз", "Доработать бы  софтину" и т.п. Софтина в архиве 100 метров. Вы реально считаете, что кто-то из пользователей будет лопатить её ради Вас? Ещё не факт, что там вообще исходники есть. А какие именно пакеты "проскакивают" - тоже непонятно. Никаких уточнений. То есть вся тема как начиналась с философских размышлений, так и усиленно Вами поддерживается в этом направлении. Есть какие-то ссылки, но никакой конкретики по Вашему вопросу. Есть только то, что вытянули из Вас клещами, чтобы можно было хоть как-то ответить более приближённо к решению. Причём то что вопрос решается правильной маршрутизацией витает с первого же ответа.

В этой теме не лучше. Есть VPN, смотрел акулой, пролетают пакеты... Опять: какие пакеты, куда они пролетают.
Через основной шлюз они просто должны пролетать, ведь VPN работает через него. А если используется скрипт прозвучавший в вышеуказанной теме, то трафик к основному шлюзу всё равно будет, так как регулярно проверяется IP сервера VPN, запрашивая его у DNS-сервера.
Опять же: говорю в первом же ответе - да можно с помощью netfilter оградиться даже от казусов прохода трафика предназначенного туннелю через другие интерфейсы. Но Вас не интересуют лирические ответы - конкретику подавай. Не важно, что от Вас её практически нет. Парни, лечите мой геморрой по фотографиям...
« Последнее редактирование: 29 Ноябрь 2014, 10:36:57 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Kubun

  • Автор темы
  • Любитель
  • *
  • Сообщений: 54
    • Просмотр профиля
Где это я про Ваши финансы говорил? С моей стороны про них ни слова не было сказано. Вы да, жаловались, что предыдущий поставщик VPN весьма дорогой.
Ах да.. Вы про оплату услуг... Я не имел ввиду, что Вы сможете заплатить только копейки. Просто эта работа большего не стоит - провести минимальную диагностику и ввести пару управляющих команд. Это действительно копеечная работа.
А посылаю я только в документацию или другие информационные ресурсы, где вопрошающий может найти ответ. Бывает открытым текстом, бывает используя теги. Найти САМ.

И давайте посмотрим на Ваш вклад в решение Вашей-же проблемы.
Вся эпопея началась с того, что у Вас отваливался VPN без восстановления и Ваш, никому не нужный, секретный трафик шёл через основной адрес. Всё описание сходится к лирическому рассказу о происходящем, без упоминания каких-либо технический данных. Ни адресов, ни явок, то есть просто рассказ одного пользователя. Раз вопрос философский, то и ответ не далеко ушёл. Но соответсвует решению проблемы - "Курите маршрутизацию". Через пару сообщений уважаемый ArcFi всё же попробовал  повернуть ветку в сторону технических решений, предложив простенький скрипт по созданию маршрута до неизвестного пользователям форума VPN. И, наконец-то, к середине первой страницы ветки, из Вас вытянули хоть что-то про поставщика VPN. Пара сообщений  и... Вы меняете поставщика. Получили от нового поставщика софтину которая делает коннект и реконнект... И она Вас не удовлетворила.... "проскакивают пакеты через основной шлюз", "Доработать бы  софтину" и т.п. Софтина в архиве 100 метров. Вы реально считаете, что кто-то из пользователей будет лопатить её ради Вас? Ещё не факт, что там вообще исходники есть. А какие именно пакеты "проскакивают" - тоже непонятно. Никаких уточнений. То есть вся тема как начиналась с философских размышлений, так и усиленно Вами поддерживается в этом направлении. Есть какие-то ссылки, но никакой конкретики по Вашему вопросу. Есть только то, что вытянули из Вас клещами, чтобы можно было хоть как-то ответить более приближённо к решению. Причём то что вопрос решается правильной маршрутизацией витает с первого же ответа.

В этой теме не лучше. Есть VPN, смотрел акулой, пролетают пакеты... Опять: какие пакеты, куда они пролетают.
Через основной шлюз они просто должны пролетать, ведь VPN работает через него. А если используется скрипт прозвучавший в вышеуказанной теме, то трафик к основному шлюзу всё равно будет, так как регулярно проверяется IP сервера VPN, запрашивая его у DNS-сервера.
Опять же: говорю в первом же ответе - да можно с помощью netfilter оградиться даже от казусов прохода трафика предназначенного туннелю через другие интерфейсы. Но Вас не интересуют лирические ответы - конкретику подавай. Не важно, что от Вас её практически нет. Парни, лечите мой геморрой по фотографиям...

Вы как то интересно все поняли, по-своему.
Поставщика VPN вобще не менял.
Приводил пример того как работает VPN на Windows и на Linux.

Софтину никого ковырять не просил, имел виду допилить маршрутизацию.(софтина подлежала бы удалению)
Софтину скачал с сайта VPN который юзаю, потому как только с ней боллее-менее работало правильно.

Но проверки тем же "шарком" данный VPN не выдержал, в сравнении с Windows конфигом, где все четко живет только через VPN.
Проверялось просто.
Я сидел в скайпе с человеком, который мониторил трафик скайпа от меня "шарком".

Примеры настроек маршрутизации - я приводил.
Дали скрипт, который вставить непонятно куда нужно.
На форуме Ubuntu нет людей, которые юзают Ubuntu. )))
Один на федоре, другой на генту, третий вобще на минте.


По факту - да. Тупо настроить или через Netfilter или маршрутом.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Вы как то интересно все поняли, по-своему.
Как объясняете так и понимаем.
Дали скрипт, который вставить непонятно куда нужно.
Это дело вкуса. А как известно на вкус и на цвет...

На форуме Ubuntu нет людей, которые юзают Ubuntu. )))
Один на федоре, другой на генту, третий вобще на минте.
Ubuntu не панацея. Все здесь "живущие" юзают Linux, а его проявление не сильно важно. Все линуксы одинаковы - разные только одёжки. Потому как Linux даже не система, а ядро, которое на всех дистрах ОДНО.
Может когда-то человек и пользовал Ubuntu, но, допустим, сменилась корпоративная политика и переехали на Fedora. Или просто человек поддерживает один из оживлённых форумов по Linux. Плохо?
У меня так в обслуживании вообще зоопарк: Slackware, Mandrake (не мандрива, а тот самый мандрейк), RedHat, Ubuntu, винды всех мастей (от 2000 до 7, включая 2003 и 2008), ios (не тот что с яблочным вкусом, но тоже с американским акцентом), другие эмбеддед системы... И все в терминалке (ну пожалуй кроме оконных систем). А обитаю здесь, на убунтовском форуме.
Но это мы ушли от темы.

Показывайте, полную диагностику сети при подключенном VPN и показывайте, что у Вас там шаркнулось, мимо VPN.
(Нажмите, чтобы показать/скрыть)

И ещё: учитесь квотить. Людям не интересно по два раза читать полностью сообщения Ваших собеседников.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн MooSE

  • Активист
  • *
  • Сообщений: 888
    • Просмотр профиля
Я в этом топике неделю назад предложил посмотреть в сторону iptables и модуля owner. Мне вот интересно: топик-стартер хоть попытался посмотреть в этом направлении?

У меня складывается впечатление что топик-стартеру не нужно решение проблемы. Он сюда ругаться приходит.

 

Страница сгенерирована за 0.062 секунд. Запросов: 24.