Комментарии 9
Спасибо большое, очень грамотное замечание. Но всётаки не все юзеры скажем тогоже пингвинёнка понимают как работает маршрутизация, так что даже жёлтые новости будут им полезны.
+1
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s <my-vpn-server-ip-address> -p udp -m udp --sport <vpn-server-port> -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
спасет отца русской демократии от утечек. Параноикам можно также закрыть все исходящие соединения, кроме отправки пакетов на VPN-сервер.
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s <my-vpn-server-ip-address> -p udp -m udp --sport <vpn-server-port> -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
спасет отца русской демократии от утечек. Параноикам можно также закрыть все исходящие соединения, кроме отправки пакетов на VPN-сервер.
+1
Но также, к сожалению, ломает и входящие соединения внутри локальной сети, например, что совсем не подходит для большинства пользователей.
Так-то, в линуксе с этим успешно справляется firewalld. Классная штука, делит сетевые интерфейсы на зоны, как в Windows. Можно задать wi-fi-интерфейсу зону public, и по умолчанию все входящие соединения будут блокированы, а домашней сети назначить зону home. Причем зоны назначаются на каждое подключение через networkmanager, очень удобно.
Так-то, в линуксе с этим успешно справляется firewalld. Классная штука, делит сетевые интерфейсы на зоны, как в Windows. Можно задать wi-fi-интерфейсу зону public, и по умолчанию все входящие соединения будут блокированы, а домашней сети назначить зону home. Причем зоны назначаются на каждое подключение через networkmanager, очень удобно.
+3
Если:
1. клиент за NAT-ом
2. офис натится в ВПН
то «уязвимость» не должна работать, верно?
1. клиент за NAT-ом
2. офис натится в ВПН
то «уязвимость» не должна работать, верно?
0
Кстати, вышел OpenVPN 2.3.9 с многочисленными исправлениями Windows-ошибок и долгожданной опцией --block-outside-dns, которая исправляет утечки DNS на Windows 8.1 и 10.
Опцию можно просто в конфиг прописать? Точнее конфиг после этого останется кроссплатформенным, т.е. будет всё так же импортироваться в Android, молча работать на Windows младше 8.1 и в поведении Linux тоже ничего не изменится?
0
Нет, конфиг не останется кроссплатформенным — другие платформы будут сообщать о незнакомой им опции.
Чтобы это работало так, как вы хотите, нужно либо посылать опцию с сервера (в этом случае клиенты игнорируют незнакомые опции), либо в клиентском конфиге использовать конструкцию с setenv opt:
Либо с ignore-unknown-option:
Я бы использовал версию с setenv, т.к. она поддерживается старыми клиентами, в отличие от ignore-unknown-option.
Чтобы это работало так, как вы хотите, нужно либо посылать опцию с сервера (в этом случае клиенты игнорируют незнакомые опции), либо в клиентском конфиге использовать конструкцию с setenv opt:
setenv opt block-outside-dns
Либо с ignore-unknown-option:
ignore-unknown-option block-outside-dns
block-outside-dns
Я бы использовал версию с setenv, т.к. она поддерживается старыми клиентами, в отличие от ignore-unknown-option.
+3
Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели
www.opennet.ru/opennews/art.shtml?num=51986
www.opennet.ru/opennews/art.shtml?num=51986
0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Еще одна «критическая» «уязвимость» «VPN» и почему Port Fail — ерунда