Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 11
Вроде некоторые VPN позволяют задавать роутинг не по IP, а по приложениям. Соответственно, российские приложения всегда пускать напрямую, а браузер и иностранные приложения - через VPN. Но это может поддерживаться не на всех ОС.
Да, моя жена с iPhone спалит всю контору, поэтому нужно надежное решение
Если я верно понимаю, роутинг по приложениям определяет маршрут по умолчанию, если само приложение не дало никаких уточнений. Приложение, узнавшее, как звать сетевой интерфейс VPN (а это вроде несложно), может принудительно отправить свой запрос через него.
Если впн свой, selfhosted - тут гибче получается. Я б вот как сделал.
В файрволе можно запретить forward- траффик со входящих туннельных интерфейсов наружу. К примеру, тех устройств, где стоят такие оборзевшие приложения. Затем поднять прокси с логином/паролем, и для прокси разрешить форвард траффик наружу. Ну а прокси указывать для приложений, которые надо на телефоне пускать в туннель, адрес, ессно, указать туннельный - через общий интернет траффик на прокси может блокироваться ТСПУ.
Тогда изолируем шпиёна. Хотя у шпиёнов политика, увы, сейчас дубовая: некоторые могут стучать в РКН на наличие любого вида ВПН, даже если это локальный, к примеру, для приложения-фаервола. Ибо гугл молодец, в андроиде он давно запретил прямое управление iptables без рута, а рутовать сейчас ой как немного смартфонов можно. Поэтому все доступные фаерволы работабт через локальный впн. Что, кстати фигово, ибо поднять одновременно два впн (фаервол и впн наружу) нельзя.
В случае винды - в комментарии ниже я описал, как метить траффик выбранных приложений и ловить его на роутерах, и для таковых на VPN сервере можно создать разрешительное forward- правило. Если впн поднят исключительныц (который в системе блокирует весь трафыик мимо себя) - dscp метка не должна сниматься по приходу на интерфейс впн сервера, то есть сервер увидит метку.
Вот только это тоже не поможет
Насчет нескольких сервисов на 1 IP - дык давно изобрели реверс прокси и SNI)
В плане зашиты от простукивания шпирнов доступа наружу и палева впн - тут разве что подход нужен комплексный.
Во-первых, приложения - видимо, пришла пора весь чебурнетный хлам выносить на отдельный смартфон, желательно с LineageOS, с отдельной сим-картой и наглухо вырубленными видами связи (блюпуп, навигация, nfc, wifi). Госуслуги, яндексы, озоны с вб, максы и прочее - все пусть катится в задницу)))) Тогда этот вектор атаки точно отсекается.
Браузеры - сложнее, в наше время почти обязателен DoH/DoT, благо многие браузеры его умеют из коробки, и блокировать WbRTC траффик, трекеры и т.п.чтобы те же яндексы-госуслуги не шпионили, не собирали доскональный цифровой отпечаток, и вообще. Но последнее время РКН стал бодать DoH. У меня куплена подписка на Adguard DNS - все роутеры у меня стучатся на него. Последние пару дней до адгарда стучатся с затыками, постоянно сыпя в логах ошибки подключения. Пришлось на роутерах прописать маршрут до doh через собсно туннели) Теперь работает.
С ПК сложнее следить за приложениями, ибо app-based-tunneling/routing в винде не представлен. Приходится костылить: в групповых политиках QoS: траффику от исполняемого файла с определенным именем присваивается DSCP-метка, а роутер по ней вылавливает траффик и сует уже как душе угодно)
Ну и плюс никто не отменял socks5/http прокси через туннель. Удобно, когда хочется задавать не доскональные правила, а толкать в туннель избранные приложения не средствами роутера.
Не проще ли на ПК запихнуть всё сомнительное в виртуалку, дать её доступ только к прямому подключению, а дальше оно там пусть хоть обзапрашивается?
виртуалка это не всегда удобно, виртуалка жрет памяти много, и так далее. Кому-то зайдет, но большинство скорее всего забьют болт на нее через какое-то время.
Но в целом да, тоже раьочий вариант, ибо виртуалку можно прикрутить мостом к основной сетевухе, dhcp на роутере даст адрес, а ему можно запретить лезть в туннель.
Чтобы вручную не копировать ip каждый раз используйте для dns-ресолвинга свой dnsmasq, он пожет запихивать ip-адреса укаханных в конфигурации сайтов после их ресолвинга в ipset. А дальше перенаправляете не отдельные ip, а целый ipset.
Можно использовать (бесплатный) IPv6 на вход, основной IPv4 на выход, тогда не придется докупать второй IPv4.
да там каких только теорий и "советов" как избежать, вместо явственной идеи не ставить себе эрэфийский скам, никуда и ни за что (на крайний случай откатится на древнии версии с запретом апдейта)
ибо в припадках паранойи всегда можно предположить что вскоре с того же рустора будут ставить откровенный вирусняк ищущий на fs конфиги vpn прям с ключами и ip
и т.п. сташилки
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Почему вам нужен второй IP адрес