Estoy tratando de bloquear mi conexión a Internet por razones de privacidad y me he registrado con un proveedor de VPN que no realiza ningún tipo de filtrado (al contrario de mi ISP). El proveedor de VPN admite OpenVPN a través de UDP en el puerto 7001 para openvpn.vpnprovider.com, creando una interfaz tun0
con una IP pública y dinámica.
Hasta ahora he usado ipfw
ruleset con Waterroof pero necesito agregar cada vez que me conecto una nueva LAN (es decir, en casa es 10.3.2. , en el trabajo 192.168.60. , de mi cafetería favorita es 192.168.1. * y así sucesivamente).
¿Existe un conjunto de reglas más genérico, más moderno (en la forma de pensar de Apple / BSD ipfw
aparentemente en desuso) para pfctl
que
a) permite que mi 10.9 Mac solo se conecte a openvpn.vpnprovider.com:7001
UDP
desde cualquier IP de origen / local (por ejemplo, independientemente de cuál sea mi IP local actual, por lo que no tengo que tocar el conjunto de reglas cada vez que encuentro / uso un nueva LAN),
b) bloquea el resto del tráfico, excepto el tráfico local actual (es decir, todo lo que está dentro del /24
local está bien para ser transmitido y recibido, por ejemplo, para acceder a mi impresora en casa o al NAS en la oficina) en todas las interfaces físicas en y afuera,
c) permite todo el tráfico de internet a través de tun0
y
d) ¿Permite DNS a través de los servidores DNS de Google?
Aquí está mi conjunto de reglas actual que, por razones desconocidas, a veces me obliga a intentar conectarme varias veces hasta que se establezca una conexión OpenVPN:
add 01000 allow ip from me to 8.8.8.8,8.8.4.4 dst-port 53 keep-state
add 01500 allow udp from any 67,68 to any dst-port 67,68
add 02000 allow ip from me to me via lo*
add 03000 allow ip from 192.168.60.0/24 to any dst-port 7001-7004,1194 keep-state
add 04000 allow ip from 192.168.1.0/24 to any dst-port 7001-7004,1194 keep-state
add 05000 allow ip from 10.3.2.0/24 to any dst-port 7001-7004,1194 keep-state
add 06000 allow ip from me to 192.168.60.0/24
add 07000 allow ip from 192.168.60.0/24 to me
add 08000 allow ip from 192.168.1.0/24 to me
add 09000 allow ip from me to 10.3.2.0/24
add 10000 allow ip from 10.3.2.0/24 to me
add 12000 allow ip from any to any via tun0 keep-state
add 13000 deny log ip from any to any
add 65535 allow ip from any to any