Настройка iptables при работе с vpn или борьба с утечка при использовании vpn

[Anildail]

Всем привет и в этой статье я хотел бы затронуть тему утечек трафика когда мы работает с vpn.
От себя хочу сказать что тема очень важная так как если у вас не стабильный интернет или просто медленый то очень высок риск утечек а при заняти чернухой это не есть гуд.
В борьбе с утечками нам на помощью приходит фаервол в случае с пользователями всяких "хакерских" дистров (Kali, Parrot OS) это iptables если кто не знает что это смотрите спойлер

Спойлер: Iptables

IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux, начиная с версии 2.4. Для использования утилиты IPTables требуются привилегии суперпользователя (root).

Это цитата с вики а если говорить совсем просто

Спойлер: Для чайников

Iptables это утилита настройки фаервола в linux

Ну это было придисловие теперь перейдем к самой настройке сразу хочу сказать что мои конфигурации не являются идеалом вы можете настроить по своему главное это "локальная петля" чтобы трафик не шол при обрыве мимо.
Будем делать всё по пунктам
1. Открываем консоль с правами root и сбрасываем настоящие настройки

 iptables -F && iptables -t nat -F

2. Пишем команду

nano iptables

у нас открывается текстовый редактор nano и в текстовый файл мы пишем такие параметры

#!/bin/bash
echo "Запуск фаервола...."
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -p udp --dport port -j ACCEPT
iptables -A INPUT -p udp --sport port -j ACCEPT
iptables -A OUTPUT -p tcp --dport port -j ACCEPT
iptables -A INPUT -p tcp --sport port -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Сохраняем это спомощью Сtrl+O и делаем нашь файл исполняемым

chmod a+x iptables

И запускаем командой

./iptables

Теперь о том что мы делаем. Мы делаем обычный bash cкрипт который при запуске будет задовать нужные правила iptables
Теперь о самих правилах

iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

Тут мы разрешаем трафик на локальном хосте.

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Тут замыкаем трафик на себе.

iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT

Тут разрешаем vpn тунель.(тут вы указывает вместо tun0 своё имя тунеля)

iptables -A OUTPUT -p udp --dport port -j ACCEPT
iptables -A INPUT -p udp --sport port -j ACCEPT
iptables -A OUTPUT -p tcp --dport port -j ACCEPT
iptables -A INPUT -p tcp --sport port -j ACCEPT

Тут разрешаем соединение с vpn сервером вместо port указываем тот порт по которому вы конектитесь к vpn серверу.
Ну а тут мы запрещаем всё что не указанно в правилах.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Как я сказал выше после запуска bash даже если соединение будет разорванно трафик не будет идти мимо туннеля. Моя настройка достаточно универсальна и её можно использовать не только с vpn.
Ну а теперь создадим скрипт для сброса настроек фаервола когда они нам не нужны всё как я писал выше но только уже с такими правилами

#!/bin/bash
echo "Остановка iptables..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

На этом у меня всё. Cтатья не получилась маленькой но за то подробной.
Ставте лайки подписывайтесь:)

 

[Anildail]

Надеюсь на конструктивную критику и оценку моей работы не хочется чтобы статья осталась не нужной.

 

[Anildail]

Спасибо за внимание к моей теме;)