UFW: forçar o tráfego através do túnel OpenVPN / não vazar tráfego

Navegue suas respostas
1

Eu tenho acesso VPN usando o OpenVPN e tento criar uma máquina segura que não vaze tráfego por interfaces não VPN. Usando o firewall UFW, tento alcançar o seguinte:

  • Permitir acesso da LAN à interface da Web da máquina
  • Caso contrário, apenas permitir tráfego no tun0 (interface OpenVPN-túnel quando estabelecida)
  • Rejeitar (ou encaminhar?) qualquer tráfego sobre outras interfaces

Atualmente estou usando as seguintes regras (sudo ufw status): 

To                         Action      From
--                         ------      ----
192.168.42.11 9999/tcp     ALLOW       Anywhere           # allow web-interface
Anywhere on tun0           ALLOW       Anywhere           # out only thru tun0
Anywhere                   ALLOW OUT   Anywhere on tun0   # in only thru tun0

Meu problema é que a máquina inicialmente não é capaz de estabelecer a conexão OpenVPN, já que somente tun0 é permitido, o que ainda não está estabelecido (chicken-egg-problem)

Como faço para permitir a criação da conexão OpenVPN e, deste ponto em diante, forçar cada pacote a passar pelo túnel VPN?

    
por hotzen 19.12.2012 / 22:51

1 resposta

3

Permitir acesso pelo aplicativo de serviço. Não tenho uma caixa OpenVPN disponível no momento, mas acho que você deve permitir o acesso com base em um comando como: 

ufw allow OpenVPN

Você pode ver se é possível usar uma VPN aberta assim: 

ufw app list

O que mostrará os aplicativos de serviço dos quais o ufw está ciente.

No caso de nenhum perfil OpenVPN, você poderia tentar usar o ufw para permitir apenas conexões de saída nessa interface para a porta 1194 (ou qualquer porta na qual o servidor OpenVPN esteja aceitando conexões.) Algo como: 

sudo ufw deny out to any
sudo ufw allow out 1194/udp

(assumindo uma configuração de estoque OpenVPN.)

Isso não limitaria isso apenas ao OpenVPN ... mas a única possibilidade de vazamento seria outra coisa usando essa porta e o UDP .... e as chances disso são muito baixas.

Para obter mais segurança na filtragem de portas, você teria que usar algo mais substancial que o ufw. O AppArmor ou o SELinux, creio eu, seria o seu próximo passo, sem ter que passar por verdadeiros appliances de firewall de Camada 7.

    
por 19.12.2012 / 22:59

Tags

Como desanexar uma região não global do Solaris quando o zoneadm detach não estiver disponível? Consultoria de arquitetura - acesso remoto à câmera web [fechada]