Я использую последнюю версию Ubuntu ... и у меня довольно нестабильное VPN-соединение. Я использую приложение Network Manager по умолчанию, которое поставляется с Ubuntu.
У меня проблемы с поддержанием соединения с моей VPN, и это отдельная проблема, я ищу что-то, что сделает меня немного более защищенным. Мне нужен автоматический способ отключения определенных портов, когда PPTP VPN разрывает соединение, или для отключения приложения в это время ... Еще лучше было бы повторно подключиться к VPN при остановке трафика.
Кто-нибудь знает приложение, которое делает это для Linux / как я могу настроить IPTables для блокировки портов?
Если вы не хотите, чтобы какой-либо трафик отправлялся незащищенным, я бы предложил настроить вашу таблицу маршрутизации без маршрута по умолчанию и только с конкретным маршрутом к серверу VPN. Это означает, что когда ваше VPN-соединение отключается и удаляет маршрут через VPN, для трафика не будет подходящего маршрута, и он не исчезнет. Например, предположим, что 192.168.0.0/24 - ваша локальная сеть, а ваш VPN-сервер - 1.2.3.4:
192.168.0.0/24 dev eth0
1.2.3.4/32 via 192.168.0.1
Если вам нужна более тонкая детализация на уровне порта, вы можете добавить правила iptables, которые блокируют исходящий трафик. eth0 на эти номера портов. Пока VPN работает, эти пакеты будут выходить из интерфейса VPN (например, tun0), и будет инкапсулирован и погаснет eth0 на номере порта VPN. Когда VPN не работает, они попытаются выйти напрямую eth0 на исходном номере порта, который правила iptables должны блокировать. Например, чтобы предотвратить выход незащищенного HTTP-трафика:
iptables --append OUTPUT --out-interface eth0 --protocol tcp --dport 80 --jump REJECT
Посмотрите на такой инструмент, как Shorewall для построения ваших правил iptables. Настройте свою VPN и Интернет на разные зоны. Затем вы можете разрешить порты в зоне VPN, которые вы не разрешаете в зоне NET. Документация Shorewall обширна и включает в себя, как изменить вашу конфигурацию при добавлении VPN. Начните с конфигурации интерфейса примера 1 и добавьте VPN.