reglas de pfctl para permitir solo la conexión OpenVPN?

Navega tus respuestas
1

Estoy tratando de bloquear mi conexión a Internet por razones de privacidad y me he registrado con un proveedor de VPN que no realiza ningún tipo de filtrado (al contrario de mi ISP). El proveedor de VPN admite OpenVPN a través de UDP en el puerto 7001 para openvpn.vpnprovider.com, creando una interfaz tun0 con una IP pública y dinámica.

Hasta ahora he usado ipfw ruleset con Waterroof pero necesito agregar cada vez que me conecto una nueva LAN (es decir, en casa es 10.3.2. , en el trabajo 192.168.60. , de mi cafetería favorita es 192.168.1. * y así sucesivamente).

¿Existe un conjunto de reglas más genérico, más moderno (en la forma de pensar de Apple / BSD ipfw aparentemente en desuso) para pfctl que
a) permite que mi 10.9 Mac solo se conecte a openvpn.vpnprovider.com:7001 UDP desde cualquier IP de origen / local (por ejemplo, independientemente de cuál sea mi IP local actual, por lo que no tengo que tocar el conjunto de reglas cada vez que encuentro / uso un nueva LAN),
b) bloquea el resto del tráfico, excepto el tráfico local actual (es decir, todo lo que está dentro del /24 local está bien para ser transmitido y recibido, por ejemplo, para acceder a mi impresora en casa o al NAS en la oficina) en todas las interfaces físicas en y afuera, c) permite todo el tráfico de internet a través de tun0 y
d) ¿Permite DNS a través de los servidores DNS de Google?

Aquí está mi conjunto de reglas actual que, por razones desconocidas, a veces me obliga a intentar conectarme varias veces hasta que se establezca una conexión OpenVPN: 

add 01000 allow ip from me to 8.8.8.8,8.8.4.4 dst-port 53 keep-state
add 01500 allow udp from any 67,68 to any dst-port 67,68
add 02000 allow ip from me to me via lo*
add 03000 allow ip from 192.168.60.0/24 to any dst-port 7001-7004,1194 keep-state
add 04000 allow ip from 192.168.1.0/24 to any dst-port 7001-7004,1194 keep-state
add 05000 allow ip from 10.3.2.0/24 to any dst-port 7001-7004,1194 keep-state
add 06000 allow ip from me to 192.168.60.0/24
add 07000 allow ip from 192.168.60.0/24 to me
add 08000 allow ip from 192.168.1.0/24 to me
add 09000 allow ip from me to 10.3.2.0/24
add 10000 allow ip from 10.3.2.0/24 to me
add 12000 allow ip from any to any via tun0 keep-state
add 13000 deny log ip from any to any
add 65535 allow ip from any to any
    
pregunta Christian 08.07.2014 - 23:10

0 respuestas

Lea otras preguntas en las etiquetas

A mediados de 2011 imac 27 "con nuevo disco duro sigue apagándose al azar ¿Se pueden arreglar los artefactos que emiten el trackpad?