Как убедиться, что весь трафик проходит через VPN-соединение после его запуска?

18

Я подключаюсь к Интернету через провайдера VPN вместе с другими мерами предосторожности, чтобы обеспечить конфиденциальность (против анализа трафика агентствами репрессивного правительства). В настоящее время я использую Tunnelblick для настройки и установки VPN-соединения. Tunnelblick не позволяет автоматически подключаться к провайдеру при входе или до входа в систему, поэтому мне нужно каждый раз подключаться вручную, а иногда соединение теряется.

Мне нужен любой трафик, чтобы все время проходить через VPN-соединение; всякий раз, когда VPN не может быть подключен по какой-либо причине, я хочу, чтобы в качестве альтернативы не было подключения. Мне нужно убедиться

  • что OS X не подключается к Интернету при обычном подключении к Интернету или вообще во время загрузки (до экрана входа в систему, для синхронизации времени и других возможных вещей «позвонить домой» и т. д.). Какие службы, если таковые имеются, пытаются сделать это, и как я могу практически проанализировать и изменить то, что происходит с сетью во время загрузки? Есть ли способ подключиться к VPN раньше, чем сразу после входа?

  • что если мое VPN-соединение временно потеряно, приложения не будут продолжать обмениваться данными через мое обычное незашифрованное соединение.

Я в основном хочу, чтобы система действовала так, как будто сетевое соединение полностью теряется при сбое VPN-соединения, но в настоящее время они просто продолжают работать, как будто ничего не произошло. Что я могу сделать с моей системой, чтобы после установления VPN весь трафик мог проходить только через это соединение, а трафик не мог проходить, если соединение обрывается?

citizenkt
источник
Интересно, можно ли это сделать, создав статический маршрут? Ваш следующий переход может быть VPN, но тогда может быть вообще трудно установить VPN. Хмм.
Harv

Ответы:

3

Вам нужен межсетевой экран между вами и Интернетом, который будет блокировать весь трафик, кроме трафика на IP-адрес вашего VPN-хоста.

Ваш маршрутизатор, скорее всего, будет иметь встроенную функцию

Стю Уилсон
источник
2

Mac OS X включает команду на основе командной строки, ipfwкоторая позволяет вам устанавливать расширенные локальные правила брандмауэра.

ipfw работает с правилами, которые написаны и проверены по порядку. Поэтому правила с малым числом сначала проверяются в конце списка. Есть два подхода при настройке брандмауэров:

  • Закрытие сети + Разрешить трафик
  • Открытие сети + Запрет трафика

В вашем случае вам необходимо закрыть весь трафик, а затем разрешить трафик только на IP-адрес вашей VPN, используя только те порты, которые использует ваша VPN. Это предотвратит возможность посылки любыми случайными пакетами, если ваши правила жесткие.

В сети есть много отличных руководств и руководств по ipfw, который широко используется во многих операционных системах Unix и Linux, вот некоторые из них:

Я предлагаю вам изучить их и посмотреть, сможете ли вы понять команду в достаточной степени, чтобы выполнить ее. Как минимум, я бы порекомендовал вам убедиться, что вы знаете, как отключить брандмауэр и очистить правила, на случай, если ваша машина будет завязана в узлы из-за неправильной конфигурации!

Удачи :)

stuffe
источник
2
В какой момент времени в процессе загрузки применяются эти правила? Можете ли вы убедиться в отсутствии связи раньше?
Макс Райд