Matar minha conexão com a Internet se a conexão VPN falhar usando apenas as regras do Firewall do Windows

Navegue suas respostas
1

Eu quero garantir que, quando a conexão VPN no meu computador cair, nenhum aplicativo ou serviço no meu sistema tenha permissão para acessar a Internet. Basicamente, o que estou tentando fazer aqui é garantir que qualquer aplicativo no meu sistema consiga acessar a Internet somente através da VPN e só seja ultrapassado se a conexão VPN cair por algum motivo.

Eu quero especificamente alcançar isso somente através do uso de regras de firewall no Firewall do Windows sem o uso de aplicativos de terceiros.

Eu li em algum lugar há muito tempo que existe uma técnica chamada "black-holing" , para conseguir isso, mas não consegui encontrar nenhuma informação detalhada na internet que explique como conseguir isso definindo regras no Firewall do Windows.

EDITAR:

Eu tenho tentado configurar meu sistema de acordo com as sugestões dadas por @Appleoddity e Binarus, mas sem sucesso até agora.

Eu editei minha pergunta para torná-la mais clara.

Desde que nenhum terceiro kill-switch / VPN Client / Software precise ser instalado, estou bem.

Eu quero saber como garantir que um aplicativo em particular (um cliente bit-torrent, por exemplo) possa ser impedido de acessar a Internet em todos os se a conexão VPN cair por qualquer motivo. .

Aqui, quero mencionar que o cliente VPN que estou usando é o cliente de VPN nativo do Windows 7 e que o endereço IP do servidor VPN ao qual eu me conectaria (por meio de L2TP, SSTP ou até mesmo PPTP) será sempre seja o inalterado. Eu estou em uma conexão LAN com fio que está conectada ao roteador (não há necessidade de discagem).

Quando estou conectado à VPN, o servidor sempre seria 65.23.78.56 (por exemplo). Em outras palavras, o IP não mudará toda vez que eu me conectar à VPN, mas permanecer estático. Isso tornaria as coisas muito mais fáceis para nós, acredito.

Eu não quero usar o cliente VPN oferecido pelo meu provedor de VPN e, assim, mais uma vez, isso deve fazer o que eu estou pedindo mais específico.

Eu estou pedindo uma resposta muito específica descrevendo o que exatamente precisa ser feito para garantir que o acesso à internet ao sistema imediatamente seja obtido morto, no momento em que a VPN cai, sem expor meu IP real ao exterior.

Eu estou bem se a conexão expirar, desde que o meu IP não tenha vazado.

Em outras palavras, estou procurando as configurações para um "kill-switch" da Internet que garantiria 100% de que meus aplicativos não acessariam a Internet usando meu IP real, caso minha conexão VPN caísse.

Obrigado pelas respostas até agora.

    
por PeterG 14.03.2018 / 19:19

2 respostas

1

Não tenho certeza se o @Appleoddity está completamente certo, pois não pode ser feito usando o Firewall do Windows. Por favor, note que a descrição a seguir é para o Windows 7 Pro, e que eu não sei o Windows 10, mas a idéia geral deve funcionar em todas as versões do Windows.

Se você clicar duas vezes em uma regra de firewall no console de gerenciamento do "Firewall do Windows com segurança avançada", será aberta uma caixa de diálogo na qual você poderá ver (e definir) as propriedades da regra. Nesse diálogo, selecione a aba "Avançado" e pressione o botão "Personalizar" na seção "Tipos de interface". Agora você pode escolher os tipos de interface aos quais a regra deve ser aplicada.

Existem três tipos de interface. O seguinte é do arquivo de ajuda:

Local area network The rule applies only to communications sent through wired local area network (LAN) connections that you have configured on the computer.

Remote access The rule applies only to communications sent through remote access, such as a virtual private network (VPN) connection or dial-up connection that you have configured on the computer.

Wireless The rule applies only to communications sent through wireless network adapters that you have configured on the computer.

Então, se você quiser atingir sua meta usando apenas regras de firewall, provavelmente poderá (nessa ordem, a cada etapa apenas para as regras relacionadas à internet (ou seja, não à LAN interna) tráfego ):

  • Excluir regras de saída
  • Crie uma regra de saída que bloqueie todo o tráfego para os tipos de interface "Sem fio" e "Rede local"
  • Crie uma regra de saída que permita todo o tráfego dos tipos de interface "Acesso remoto"

Faça um processo semelhante para o tráfego de entrada.

Por favor, note que eu não tentei isso ainda (e não posso fazer no momento). Mas se o seu cliente VPN age de forma que o Windows realmente reconheça essa conexão como conexão VPN, o método acima deve funcionar.

Dito isto, concordo com o @Appleoddity em que este não é um bom método e que você deve tentar alcançar o seu objetivo de outra forma.

    
por 15.03.2018 / 10:09
0

Não é possível apenas com regras de firewall. Você exigiria, no mínimo, um script ou uma tarefa para adicionar e remover dinamicamente uma regra de firewall com base na conectividade VPN.

Eu não faria assim.

Eu faria assim:

  1. Crie uma rota estática para o IP do ponto de extremidade remoto da VPN, especificando que ela deve ser roteada por meio do endereço IP do gateway.
  2. Remova o gateway padrão das configurações tcp / ip da interface de rede.
  3. Ative a opção de usar o gateway de VPN remoto para todo o tráfego. Este é o cliente VPN específico, mas a opção existe no Windows VPN. Isso também é conhecido como desativar o encapsulamento dividido.

Como alternativa, se eu estivesse usando um sofisticado cliente VPN de terceiros, procuraria uma opção para bloquear o tráfego não protegido. O Cisco AnyConnect pode fazer isso.

    
por 14.03.2018 / 19:32

Tags

a diretiva de pré-processamento #define não funciona em .Xresources Gnu paralelo e vários nós usando rsh em vez de ssh