Ubuntu(18.04) & Debian пускаем траф только через VPN. (Iptables)

[kolobok]

Спойлер: VPN & DNS

Должен быть скачен файл конфигурации VPN - client.ovpn
Устанавливаем OpenVPN:
sudo apt-get update
sudo apt-get install openvpn
Kопируем файл конфига в папку /etc/openvpn:
sudo cp /home/user/папка где файл лежит/client.ovpn /etc/openvpn/
Для автозапуска необходимо переименовать файл c .ovpn > .conf:
sudo mv /etc/openvpn/client.ovpn /etc/openvpn/client.conf

Фиксим DNS
Ubuntu 18.04 использует systemd-resolved, поэтому все, что вам нужно сделать, это установить скрипт openvpn helper для systemd-resolved с помощью:
sudo apt install openvpn-systemd-resolved
Потом обновить конфиг client.conf:
sudo su - root
cd /etc/openvpn/
ls
nano client.conf
Добавляем в конце конфига:

script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre

Для предотвращения утечки DNS добавялем в конфиг:

# prevent DNS leakage
dhcp-option DOMAIN-ROUTE .

Должно получится в конце конфига:

script-security 2
up /etc/openvpn/update-systemd-resolved
down /etc/openvpn/update-systemd-resolved
down-pre
# prevent DNS leakage
dhcp-option DOMAIN-ROUTE .

Перезагружаем систему:
Sudo reboot

Спойлер: IPTABLES

Устанавливаем Iptables:

sudo apt-get install -y iptables-persistent
sudo su - root
cd /etc/iptables
ls
nano rules.v4

Вставляем это в конфиг:

*filter
:INPUT ACCEPT [871:731233]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -d XX.XXX.XXX.XX/32 -p tcp -m tcp --dport XXX -j ACCEPT 
-A OUTPUT -j DROP
COMMIT
XX.XXX.XXX.XX - ваш IP из конфига VPN
XXX - порт из конфига VPN

Перезапускаем правило:
sudo iptables-restore < /etc/iptables/rules.v4
Отключаем протокол ipv6:
в /etc/sysctl.conf добавляем net.ipv6.conf.all.disable_ipv6 = 1

 

[bembi]

что в данном случае разрешает строка ":INPUT ACCEPT [871:731233]"?

 

[kolobok]

что в данном случае разрешает строка ":INPUT ACCEPT [871:731233]"?

разрешение по умолчанию для входящего трафика. если работаешь в локалке, или нет локальных сервисов - можно не запрещать

 

[bembi]

разрешение по умолчанию для входящего трафика. если работаешь в локалке, или нет локальных сервисов - можно не запрещать

спасибо, но так и не понял чего [871:731233] а не [0:0]?

 

[kolobok]

спасибо, но так и не понял чего [871:731233] а не [0:0]?

Эти цифры - это счетчик пакетов и байтов.
Iptables хранит счетчики трафика, которые пропустил через себя. Файлы rulesv[46] генерятся командой iptables-save -c -- выводит правила файрволла со счетчиками. отсюда и числа эти.
Они информативную роль играют - можно и нули, можно что есть оставить.
Мне просто было легче скопировать у себя чем набирать)

 

[Akasuki_Takahash]

Отключаем протокол ipv6:
в /etc/sysctl.conf добавляем net.ipv6.conf.all.disable_ipv6 = 1

по моему еще sysctl -p не хватает после изменений. Мне кажется с ufw это гораздо проще сделать.

 

[kolobok]

по моему еще sysctl -p не хватает после изменений. Мне кажется с ufw это гораздо проще сделать.

sysctl net.ipv6.conf.all.disable_ipv6=1 можно и так - чтоб без перезагрузки применить настройки. можно sysctl -p - перечитать из файла
И это не статья! Это мануал под рукой для комунити xss! Есть решение лучше/проще/удобнее - только буду рад сам юзать!

 

[Dendy]

Для предотвращения утечки DNS добавялем в конфиг:
Код:
# prevent DNS leakage
dhcp-option DOMAIN-ROUTE .


а если впн предлогает свой днс, происать сюда ip нужный ?

 

[kolobok]

Для предотвращения утечки DNS добавялем в конфиг:
Код:
# prevent DNS leakage
dhcp-option DOMAIN-ROUTE .


а если впн предлогает свой днс, происать сюда ip нужный ?

Нет. Он и будет юзать днс по умолчанию из конфига vpn. Без этого он будет юзать dns хоста.
П.С. Это все про связку: host(OS X) > vmware > ubuntu

 

[EeXau1ei]

У nordvpn клиента есть технология nordlynx, можно переключать в место openvpn, интересно какая надежнее в плане шифрования