Многим знакома ситуация, когда падает ВПН и все приложения (jabber, ICQ, браузеры и пр.) начинают идти в интернет напрямую. Если падения впн незаметить и продолжить работать дальше, то провайдер видит весь наш трафик, соответственно видит чем мы занимаемся и на каком сайте сейчас сидим. Не говоря уже о том, что ты палишь свой реальный айпи.
Сразу отмечу, что данный мануал подойдёт для любого впн, любых конфигов и пр. Самое главное, чтобы нам был известен мак адрес нашего виртуального адаптера, который подключается к впн серверу. Узнать его не проблема, всё описано в данном мануале.
Предотвратить можно несколькими способами:
1) Самый простой, его много кто знает. Это OpenVPN Protector.
Подходит только для OpenVPN gui. При отключении VPN он полностью отключает интернет, предварительно спросив пользователя об этом.
Этот способ затрагивать вообще не буду, т.к. там всё просто.
Есть и другие подобные приложения, специально под эту тему, но лично я им не доверяю. Такие проги находятся на всяких форумах, поэтому большие шансы того, что к прогам идет какое-то нехорошее дополнение. Поэтому я в этом вопросе использую настройку фаервола.
2) Настроить фаервол. У меня стоит Comodo Internet security Premium 8,2. Он бесплатный, скачать можно с официального сайта. Также можно использовать другой фаервол, если каким-нибудь уже пользуетесь, настройка для него будет похожей.
Окей, погнали!
1) Этап установки. Снимаем галочки, сами понимаете зачем.
2) Жмём настроить установку, тут выбираем на свой вкус, если у вас стоит антивирус, то ав комодо не ставим.
3)После установки, Comodo сразу начнёт обновлять антивирусные базы, затем сканировать вашу систему, и попросит перезагрузиться. А так же задаст такой вопрос. От данной сети нам нужет только интернет. Поэтому выбираем её как общественное место.
4) Окей, перезагрузились. Заходим в настройки.
5) Я меняю конфигурацию, мне нужна защита в активном времени, так как других антивирусов у меня нет, Также для нас подойдёт Firewall security. Комодо попросит перезагрузки!
6) Итак, самое главное.
Настройки фаервола -> Сетевые зоны (добавляем сетевую зону / затем добавляем мак адрес) мак адрес нашего впн адаптера
7)И прописываем МАК адрес.
(Окошко с выпадающем меню, в самом низу выбираем пункт мак адрес)
А где же узнать мак адрес нашего виртуальго адаптера? Можно в двух местах
И введя в командной строке команду ipconfig /all
Ищем TAP-Windows Adapter V9, Через который работает наш ВПН
и прописываем его в комодо, в нашу созданную сетевую зону.
8)Окей, едем дальше. Создадим набор простых правил
1. Разрешить входящий IP трафик из любой сети в сетевую зону VPN
2. Разрешить исходящий IP трафик из сетевой зоны VPN в любую сеть
3. Запретить любой входящий и исходящий IP трафик
Почти готово!!!
9)Переходим во вкладку правила для приложений.
10)И добавляем приложения которым хотим ограничить доступ в интернет напрямую. Применив к ним набор наших созданных правил.
Также хочу отметить, что можно добавить группы приложений, например все веб браузеры.
PS. Заметил одну особенность. Имеем 2 браузера портабл: iron портабл и мозилла портабл. Добавляем правила для них с полным указанием пути к файлу. НО почему то именно эти браузеры от Portableapps.com работают и выходят в интернет, как с впн так и без впн. Как будто комодо для них вообще не существует.
Решение: Создать правило для всех веб браузеров как на скриншоте выше.
Для других приложений от Portableapps.com не тестил
PPS. Комодо хороший фаервол с множеством настроек, подходит как для профи так и для новичков. То, что описано в этой статье, это цветочки, он способен на многое. Всех настроек я описывать не стал, но его HIPS защита реагирует на многие объекты которые даже не представляют никакой опасности. Её можно отключить, если уверены, что у вас чистый пк. Или по умолчанию разрешать все запросы, чтоб вас не мучали всплывающие оповещания.
А вообще все скачанные файлы и всю работу нужно производить в виртуалке!
PPPS. Также я активировал следующие настройки.
Стандартные глобальные правила
Вот и всё. Теперь если впн упал, то трафик не будет идти и мы не спалим свой реальный айпи адрес.
