Iptables e blocco navigazione

[Taker82]

Buongiorno a tutti.

Utilizzo per navigare un servizio di VPN: nel contesto di ubuntu ne usufruisco tramite openvpn, dato che il fornitore del servizio prevede la configurazione dei server per questa applicazione.

Ciò nonostante, non ho modo tramite OpenVPN di accedere alle impostazioni del mio servizio, che prevederebbe anche un Kill Switch automatico nel caso in cui dovesse cadere la connessione della VPN.
Ho letto in giro, prima di "disturbarvi" che nel caso di Ubuntu, iptables potrebbe tornare utile, ovviamente non per configurare la VPN, sarebbe assurdo. Ma quantomeno per creare una sorta di filtro che vieti qualsiasi tipo di connessione che non sia filtrata tramite la vpn.. quindi se di base utilizzo eth0 e la vpn mi crea un device di nome tun0 (per ipotesi), dovrei poter bloccare ogni tipo di connessione in entrata o uscita da eth0. Questo in linea teorica: sono qui a chiedere l'aiuto di gente più esperta che sappia come utilizzare iptables, io non sono un grande esperto. Qualcuno ha idea di come potrei fare? Qualora mi fossero sfuggiti altri 3d dedicati a questo argomento e già ampiamente risolti, come sempre , chiedo scusa per il "doppio"... )
Intanto, grazie mille!

MAX

[Danny90]

Seguo anche io perché è un argomento che mi interessa.

[thece]

ho letto la tua richiesta e mi pare alquanto ... strampalata

... non ho modo tramite OpenVPN di accedere alle impostazioni del mio servizio ...

La risposta è NI, ossia dipende da quali impostazioni intendi.
Se intendi le impostazioni contenute nel file di configurazione che ti ha passato il fornitore del servizio VPN e che servono unicamente per stabilire la connessione verso il server VPN, la risposta è SI, per farlo ti basta un editor di testi. Ma modificarle probabilmente è controproducente poichè caratterizzano fortemente (e in modo vincolante) il tipo di connessione VPN che ti sta offrendo il tuo fornitore. Quelle impostazioni le ha scelte il tuo fornitore e le devi lasciare così come sono, altrimenti non riuscirai a stabilire correttamente il collegamento VPN. Se invece intendi le impostazioni strettamente legate al servizio, che ne so un'eventuale password di accesso al servizio stesso, allora la risposta è NO. Quelle impostazioni sono modificabili unicamente attraverso il portale del tuo fornitore. Il client OpenVPN non sa nulla di quelle impostazioni e non ne deve sapere nulla, non è il suo scopo gestirle.

... che prevederebbe anche un Kill Switch automatico nel caso in cui dovesse cadere la connessione della VPN.

Kill switch? Quale kill switch?

... iptables potrebbe tornare utile, ovviamente non per configurare la VPN, sarebbe assurdo...

Per fugare ogni equivoco: IPTables serve per manipolare (o filtrare) i pacchetti di rete. (Direttamente) Non ha nulla a che fare con le connessioni VPN.

Ho letto in giro, prima di "disturbarvi" che nel caso di Ubuntu, iptables potrebbe tornare utile, ovviamente non per configurare la VPN, sarebbe assurdo. Ma quantomeno per creare una sorta di filtro che vieti qualsiasi tipo di connessione che non sia filtrata tramite la vpn.. quindi se di base utilizzo eth0 e la vpn mi crea un device di nome tun0 (per ipotesi), dovrei poter bloccare ogni tipo di connessione in entrata o uscita da eth0. Questo in linea teorica: sono qui a chiedere l'aiuto di gente più esperta che sappia come utilizzare iptables, io non sono un grande esperto.

Non stento a crederti. Quindi anche le connessioni verso gli altri PC della tua LAN vorresti farle passare attraverso la VPN?

Molto probabilmente quello che ti occorre è solamente la "redirezione del gateway", ossia fare in modo che tutte le connessioni in uscita dal tuo PC e dirette verso Internet, quindi non quelle dirette verso altri PC della tua LAN, vengano reinstradate attraverso la VPN. Fidati la tua VPN funziona già così, è il comportamento di default con cui vengono venduti questi servizi ... e se non ti fidi, te lo farò verificare.
Al 99% non ti occorre nessun firewall: da Internet ti sta già proteggendo il firewall del tuo router, dagli altri client / utenti della VPN "dovrebbe" proteggerti il tuo fornitore, nel senso che i client / utenti della VPN dovrebbero essere isolati fra di loro. A meno che tu non abbia esposto su Internet un qualche servizio attraverso il port forwarding il tuo PC è irraggiungibile da Internet, e nel caso tu avessi esposto un qualche servizio, questo (al 99,99%) non sarebbe contattabile attraverso la VPN a causa delle limitazioni imposte dal tuo fornitore del servizio. L'indirizzo IP pubblico di uscita dalla VPN è (ovviamente) condiviso. Gli utenti dietro la VPN sono tutti nattati.

Qualcuno ha idea di come potrei fare?

Per modificare le regole di IPTables è sufficiente eseguire un script all'attivazione (*) della connessione VPN, funzionalità già prevista sia dal client OpenVPN che dal Network Manager.


(*) e anche alla disattivazione della connessione VPN, per riportare le regole di IPTables al loro stato antecedente all'instaurazione della connessione.

[Taker82]

ho letto la tua richiesta e mi pare alquanto ... strampalata

... non ho modo tramite OpenVPN di accedere alle impostazioni del mio servizio ...

La risposta è NI, ossia dipende da quali impostazioni intendi.
Se intendi le impostazioni contenute nel file di configurazione che ti ha passato il fornitore del servizio VPN e che servono unicamente per stabilire la connessione verso il server VPN, la risposta è SI, per farlo ti basta un editor di testi. Ma modificarle probabilmente è controproducente poichè caratterizzano fortemente (e in modo vincolante) il tipo di connessione VPN che ti sta offrendo il tuo fornitore. Quelle impostazioni le ha scelte il tuo fornitore e le devi lasciare così come sono, altrimenti non riuscirai a stabilire correttamente il collegamento VPN. Se invece intendi le impostazioni strettamente legate al servizio, che ne so un'eventuale password di accesso al servizio stesso, allora la risposta è NO. Quelle impostazioni sono modificabili unicamente attraverso il portale del tuo fornitore. Il client OpenVPN non sa nulla di quelle impostazioni e non ne deve sapere nulla, non è il suo scopo gestirle.

... che prevederebbe anche un Kill Switch automatico nel caso in cui dovesse cadere la connessione della VPN.

Kill switch? Quale kill switch?

... iptables potrebbe tornare utile, ovviamente non per configurare la VPN, sarebbe assurdo...

Per fugare ogni equivoco: IPTables serve per manipolare (o filtrare) i pacchetti di rete. (Direttamente) Non ha nulla a che fare con le connessioni VPN.

Ho letto in giro, prima di "disturbarvi" che nel caso di Ubuntu, iptables potrebbe tornare utile, ovviamente non per configurare la VPN, sarebbe assurdo. Ma quantomeno per creare una sorta di filtro che vieti qualsiasi tipo di connessione che non sia filtrata tramite la vpn.. quindi se di base utilizzo eth0 e la vpn mi crea un device di nome tun0 (per ipotesi), dovrei poter bloccare ogni tipo di connessione in entrata o uscita da eth0. Questo in linea teorica: sono qui a chiedere l'aiuto di gente più esperta che sappia come utilizzare iptables, io non sono un grande esperto.

Non stento a crederti. Quindi anche le connessioni verso gli altri PC della tua LAN vorresti farle passare attraverso la VPN?

Molto probabilmente quello che ti occorre è solamente la "redirezione del gateway", ossia fare in modo che tutte le connessioni in uscita dal tuo PC e dirette verso Internet, quindi non quelle dirette verso altri PC della tua LAN, vengano reinstradate attraverso la VPN. Fidati la tua VPN funziona già così, è il comportamento di default con cui vengono venduti questi servizi ... e se non ti fidi, te lo farò verificare.
Al 99% non ti occorre nessun firewall: da Internet ti sta già proteggendo il firewall del tuo router, dagli altri client / utenti della VPN "dovrebbe" proteggerti il tuo fornitore, nel senso che i client / utenti della VPN dovrebbero essere isolati fra di loro. A meno che tu non abbia esposto su Internet un qualche servizio attraverso il port forwarding il tuo PC è irraggiungibile da Internet, e nel caso tu avessi esposto un qualche servizio, questo (al 99,99%) non sarebbe contattabile attraverso la VPN a causa delle limitazioni imposte dal tuo fornitore del servizio. L'indirizzo IP pubblico di uscita dalla VPN è (ovviamente) condiviso. Gli utenti dietro la VPN sono tutti nattati.

Qualcuno ha idea di come potrei fare?

Per modificare le regole di IPTables è sufficiente eseguire un script all'attivazione (*) della connessione VPN, funzionalità già prevista sia dal client OpenVPN che dal Network Manager.


(*) e anche alla disattivazione della connessione VPN, per riportare le regole di IPTables al loro stato antecedente all'instaurazione della connessione.

Ciao! Ti ringrazio molto per la tua spiegazione. Sono qui apposta per chiedere a chi ne sa più di me.

In realtà il fatto che tu mi chieda di quale Killswitch io stia parlando, mi fa capire che il mio post può sembrare strampalato perché forse non ho espresso al meglio quale sia il fulcro della mia richiesta.

Non ho capito bene il tuo ironizzare sul discorso del traffico LAN... anche se non sono un ingegnere informatico, ci arrivo a sapere che il traffico LAN non ha nulla a che fare con il discorso delle VPN.. anzi, le Virtual Private Network creano un tunnel dove ogni utente dello stesso servizio rimane isolato (come dicevi giustamente tu): tecnicamente l'utilizzo di una vpn preclude quasi totalmente l'appartenenza alla propria rete LAN locale.

Il centro di tutto il discorso è proprio l'opzione di Killswitch: si tratta di un'opzione che alcune VPN forniscono (la mia la fornisce). Con l'opzione killswitch attiva, se durante una navigazione il servizio VPN dovesse interrompersi, si impedisce che la connessione venga ripristinata con la propria connessione "standard", altrimenti tutto l'anonimato relativo all'utilizzo della VPN sarebbe totalmente vano. Come dicevo la mia VPN fornisce questo tipo di servizio.. ma è impostabile solo dall'applicazione proprietaria, non è configurabile da OpenVPN: per questo chiedevo se con iptables ci fosse modo di filtrare e "bloccare" il traffico dati internet in entrata e in uscita. Come se fosse un workaround, per impostare una sorta di killswitch: detto in parole povere, l'obiettivo sarebbe ottenere che, se per qualche motivo cade la connessione VPN, il pc rimane scollegato da internet.

Spero di essere stato maggiormente chiaro.

Grazie ancora!

[Danny90]

Io penso di aver capito cosa intendi: anche la mia offre questo servizio di "Kill Switch".

Io uso VyprVPN e hanno un client scaricabile per piattaforme Windows, Mac e Android, dove l'utente può scegliere la nazione oppure collegarsi automaticamente al server più veloce e modificare alcune opzioni della VPN, come per esempio attivare o disattivare questo "Kill Switch".



Per Ubuntu non hanno un client ma semplicemente sfruttano OpenVPN. Il grande svantaggio è che non puoi scegliere la nazione con un click e non puoi collegarti al server più veloce, visto che l'indirizzo gateway va inserito manualmente. Inoltre non è possibile andare a modificare tutte le opzioni che sono modificabili invece con il client VyprVPN su Windows per esempio.

Tu vorresti invece poter accedere a queste opzioni anche da Ubuntu. Giusto?
Se sì allora siamo in due

[Taker82]

Io penso di aver capito cosa intendi: anche la mia offre questo servizio di "Kill Switch".

Io uso VyprVPN e hanno un client scaricabile per piattaforme Windows, Mac e Android, dove l'utente può scegliere la nazione oppure collegarsi automaticamente al server più veloce e modificare alcune opzioni della VPN, come per esempio attivare o disattivare questo "Kill Switch".



Per Ubuntu non hanno un client ma semplicemente sfruttano OpenVPN. Il grande svantaggio è che non puoi scegliere la nazione con un click e non puoi collegarti al server più veloce, visto che l'indirizzo gateway va inserito manualmente. Inoltre non è possibile andare a modificare tutte le opzioni che sono modificabili invece con il client VyprVPN su Windows per esempio.

Tu vorresti invece poter accedere a queste opzioni anche da Ubuntu. Giusto?
Se sì allora siamo in due

ahah si esatto sarebbe l'ideale!
Si quella è l'opzione a cui mi riferisco anch'io. ma infatti con l'applicazione proprietaria non c'è nessun problema per quel tipo di settaggi.
Il più era capire come farlo in ambiente linux da openvpn tecnicamente anche con Openvpn puoi collegarti a qualsiasi server della tua VPN tu voglia.. e puoi tranquillamente scegliere lo stato ecc.. solo che come giustamente dici tu.. devi farlo manualmente. ma è comunque fattibile. detto questo, hai centrato in pieno il discorso: mi piacerebbe capire se esiste un workaround da linux per usufruire del kill switch o quantomeno per avere un risultato simile. La mia curiosità è proprio questa

[Danny90]

Immaginavo... Credo che non esista qualcosa pronto da installare e usare. Ma mai dire mai.

Se non dovesse esistere bisogna solo sperare che qualcuno esperto (tipo thece ) comprenda che cosa il client va a modificare andando a toccare quelle impostazioni e trovi la via più easy per farlo manualmente.

Per esempio:
Il client modifica il file di configurazione? Se sì, quali righe va a modificare e come? Una volta che si sanno queste info si può andare a modificare manualmente il file ogni volta che su vuole modificare un'opzione.

Oppure che qualche sviluppatore metta in piedi un client open source per fare tutto ciò. Se avessi le competenze lo farei io

[Taker82]

Immaginavo... Credo che non esista qualcosa pronto da installare e usare. Ma mai dire mai.

Se non dovesse esistere bisogna solo sperare che qualcuno esperto (tipo thece ) comprenda che cosa il client va a modificare andando a toccare quelle impostazioni e trovi la via più easy per farlo manualmente.

Per esempio:
Il client modifica il file di configurazione? Se sì, quali righe va a modificare e come? Una volta che si sanno queste info si può andare a modificare manualmente il file ogni volta che su vuole modificare un'opzione.

Oppure che qualche sviluppatore metta in piedi un client open source per fare tutto ciò. Se avessi le competenze lo farei io

ma figurati sono daccordissimo! non ho mai pensato a qualcosa di pronto da installare.. anzi a me piace capire e cercare di imparare. Mi sono rivolto al forum proprio per saperne di più da gente più esperta.
Ho menzionato iptables perché anche su altri forum stranieri relativi a ubuntu c'era chi parlava del fatto di bloccare il traffico internet in entrata e in uscita proprio come se fosse un filtro: così nel caso cadesse la connessione vpn non poteva essere ripristinata la connessione "non protetta".
Cercavo di capirci un po' di più

[thece]

come ho già scritto quell'impostazione (kill switch) è una feature rilasciata dal fornitore del servizio VPN, e strettamente non ha nulla a che vedere con la connessione VPN instaurata dal client OpenVPN.
Se di vostro interesse, potete modificare le regole di IPTables sia all'atto della connessione, che della disconnessione.

[EDIT]

Cercando in Rete ho visto che si trovano facilmente degli script per IPTables che vanno simulare questa feature. Ad esempio

https://www.reddit.com/r/VPN/comments/4 ... vpn_linux/

[Taker82]

come ho già scritto quell'impostazione (kill switch) è una feature rilasciata dal fornitore del servizio VPN, e strettamente non ha nulla a che vedere con la connessione VPN instaurata dal client OpenVPN.
Se di vostro interesse, potete modificare le regole di IPTables sia all'atto della connessione, che della disconnessione.

Ciao thece!
Grazie mille.

SI si assolutamente quella è una feature dell VPN e non del client di openVPN. Quello che appunto chiedevo è quale sia la maniera più corretta per modificare le regole di iptables..
Non che voglia particolarmente la "pappa pronta", posso tranquillamente studiarmi come funziona iptables .. chiedevo solo consigli perché mi pare che non abbia una sintassi particolarmente semplice.

[thece]

Ho provato lo script e, con qualche ritocchino, sembrerebbe funzionare.