Ignorar VPN para tráfego HTTP / HTTPS no Ubuntu?

3

Eu tenho uma máquina Ubuntu 14.04 que todo o tráfego de saída é através de uma VPN, e eu sou obrigado a garantir que o tráfego HTTP e HTTPS não passe pela VPN.
Eu olhei para o roteamento estático mas parece lidar apenas com a camada 3.
Como devo abordar essa configuração? Obrigado.

    
por thedp 04.10.2015 / 17:59

3 respostas

3

Para rotear pacotes destinados a portas específicas através de um gateway padrão diferente, você precisa marcar esses pacotes usando iptables e então rotea-los através de uma tabela de rotas diferente.

Portanto, primeiro crie uma nova tabela de rotas com o gateway padrão do seu gateway local (não o seu gateway de VPN)

ip route add table 4 default via 192.168.0.1

Em seguida, marque os pacotes de que você precisa com base nas portas de destino.

iptables -t mangle -A PREROUTING -p tcp --dport 80  -j MARK --set-mark 4
iptables -t mangle -A PREROUTING -p tcp --dport 443 -j MARK --set-mark 4

Por fim, direcione os pacotes marcados pela tabela de rotas recém-criada.

ip rule add fwmark 4 table 4

Eu ainda não testei os comandos acima, então eles podem precisar de alguns ajustes.

    
por 10.10.2015 / 14:49
2

Uma maneira de fazer isso é usar ip rule e iptables . Um exemplo seria marcar o tráfego que você está interessado em rotear

iptables -I OUTPUT -m tcp -p tcp -m multiport --dports 80,443 -j MARK --set-mark 0x0001

Em seguida, você cria uma nova tabela de roteamento:

echo 101 r_http >> /etc/iproute2/rt_tables
ip route add default via 10.0.0.1 dev eth0 table r_http
ip route flush cache

E agora que você tem seu tráfego HTTP e HTTPS marcado, você pode criar uma regra para aplicar essa nova tabela de roteamento

ip rule fwmark 0x0001 table 101

Isso deve funcionar. Como um exercício para o leitor é como torná-lo permanente e como criar a rota padrão: -)

    
por 10.10.2015 / 14:54
-1

Você pode tentar configurar seus navegadores para usar um proxy.
 - Você pode especificar o proxy no DNS, mas não estou familiarizado com essa técnica. ( Como as pesquisas de DNS funcionam quando usando um proxy HTTP (ou não) no IE  - Isso também pode ser feito com a Diretiva de Grupo ( link ) e, se os navegadores em questão respeitarem as configurações do Internet Explorer, você poderá implantá-lo facilmente em toda a rede.

Você precisará de um servidor proxy HTTP para que isso funcione ( link )

Isso manteria o tráfego do navegador da VPN, mas todo o resto deveria estar bem. Configure seu servidor proxy de tal forma que nenhum tráfego seja roteado através da VPN.

    
por 16.10.2015 / 19:22