服务器 Gind.cn
  1. 服务器 Gind.cn
  3. iptables – 通过VPN强制所有stream量(并在没有VPN连接时丢弃所有stream量)
Intereting Posts
FreeBSD与Illumos Postfix只允许通过身份validation的用户 启用S​​SH部署一个bitbucket git回购 CentOS 7中的IPv6configuration选项是什么意思? Apache:mod_ssl:错误:未find私钥 使用外部网站作为健康检查是否合理? SQL Server 2008数据文件问题 Hyper-V外部IP地址 XP域上的机器不报告2003服务器环境中的WMI数据 Server 2008 R2上的cwrsync作为计划任务 Azure DS_V2与FS系列的比较 权限问题:为什么用户在我的第二个php-fpm池中不需要? 当在里面创build一个新文件时,目录mtime是否总是改变? www-data用户似乎没有使用php-curl的权限 我如何添加CAC用户名到我的网页和日志?

iptables – 通过VPN强制所有stream量(并在没有VPN连接时丢弃所有stream量)

目标:确保来自所有networking接口(wlan0,rmnet0,rmnet1)的VPN隧道强制所有stream量,即所有stream量在未连接到VPN时被丢弃 。 换句话说,互联网stream量不应该被允许,只有通过VPN的stream量是可以接受的。

到目前为止… Android设备与iptables的二进制,wlan和3G连接VPN网关@ 10.10.10.10(不是真正的地址)。 

iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i tun0 -m conntrack --ctstate NEW -j ACCEPT iptables -A INPUT -j DROP iptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o tun0 -m conntrack --ctstate NEW -j ACCEPT iptables -A OUTPUT -d 10.10.10.10 -m conntrack --ctstate NEW -j ACCEPT iptables -A OUTPUT -j DROP

结果:

stream量似乎被阻止 – 但连接到VPN也是如此。

有任何想法吗? 鉴于此只是移动数据rmnet0接口而且在这里还没有WiFi。

在这种情况下,我不会使用conntrack,而是更简单一些 

 iptables -A INPUT -i tun0 -j ACCEPT iptables -A INPUT -s 10.10.10.10 -j ACCEPT iptables -A OUTPUT -i tun0 -j ACCEPT iptables -A OUTPUT -d 10.10.10.10 -j ACCEPT

不需要任何连接跟踪。 顺便说一下,您最后也不需要DROP规则, -P ... DROP可以解决这个问题。

您还需要确保在configuration中使用vpn服务器的IP,否则您也必须将DNS列入白名单: 

 iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p udp --sport 53 -j ACCEPT