我有使用OpenVPN VPN访问,并尝试创build一个安全的机器,不泄漏通过非VPN接口的stream量。 使用防火墙UFW我试图达到以下目的:
目前我正在使用以下规则(sudo ufw status):
To Action From -- ------ ---- 192.168.42.11 9999/tcp ALLOW Anywhere # allow web-interface Anywhere on tun0 ALLOW Anywhere # out only thru tun0 Anywhere ALLOW OUT Anywhere on tun0 # in only thru tun0 我的问题是,机器最初不能build立OpenVPN连接,因为只允许tun0,这还没有build立(鸡蛋问题)
我如何允许创buildOpenVPN连接,并从这一点开始强制每一个数据包通过VPN隧道?
允许服务应用程序访问。 我目前还没有OpenVPN盒子,但是我认为你应该可以通过下面的命令来访问:
如果允许OpenVPN
你可以通过运行看看是否可以使用这样的开放VPN:
ufw应用程序列表
这将显示那些ufw意识到的服务应用程序。
在没有OpenVPNconfiguration文件的情况下,你可以尝试使用ufw,只允许该接口的出站连接端口1194(或任何端口的OpenVPN服务器正在接受连接)。
sudo ufw否认任何 sudo ufw允许出1194 / udp
(假设一个股票OpenVPN的设置。)
这不会限制它只是OpenVPN的…但唯一的泄漏的可能性将是其他东西使用该端口和UDP ….和这个机会是相当低的。
为了获得更安全的端口过滤,你将不得不使用比ufw更实质的东西。 我相信,AppArmor或SELinux将是您的下一步,而无需升级到真正的第7层防火墙设备。