Конфигурация pfctl для разрешения имен хостов VPN вместо IP-адресов в соединении OpenVPN

1

Я хотел бы использовать доменные имена VPN вместо IP-адресов, чтобы разрешить только некоторые VPN-серверы на моем Mac. Я сделал все здесь, чтобы настроить pfctl так, чтобы только некоторые VPN-серверы открывали доступ к некоторым конкретным IP-адресам, однако я не знаю, как добавить имена хостов вместо IP-адресов в мой список разрешенных VPN.

Поскольку IP-адреса меняются, а имена хостов нет, возможно ли добавить имена хостов вместо IP-адресов в pfctl?

alperozaydin
источник

Ответы:

1

Вы можете просто добавить имена хостов вместо IP-адресов в таблицы. Если разрешение DNS не заблокировано, они будут разрешены.

Я рекомендую включить таблицы в /etc/pf.anchors/org.vpnonly.pf.rules

...
# Ports
allowed_vpn_ports = "{ 1:65535 }"

# Table with allowed IPs
table <allowed_vpn_ips> const { us1.vpnprovider.com, us2.vpnprovider.com, uk.vpnprovider.com }
table <allowed_dns_ips> const { 8.8.8.8, 8.8.4.4 }

# Block all outgoing packets
block out all
...

Проверьте это с sudo pfctl -vnf /etc/pf.conf.

klanomath
источник
не могли бы вы поделиться полным конфигом?
jakethedog
@jakethedog Полный файл конфигурации можно найти в связанном вопросе и ответе: pfctl config, чтобы разрешить только соединение OpenVPN
klanomath