Comment s'assurer que tout le trafic passe par une connexion VPN une fois qu'il a été démarré?


18

Je me connecte à Internet via un fournisseur VPN ainsi que d'autres précautions afin de garantir la confidentialité (contre l'analyse du trafic par les agences d'un gouvernement répressif). J'utilise actuellement Tunnelblick pour configurer et établir la connexion VPN. Tunnelblick ne permet pas de se connecter automatiquement au fournisseur au moment de la connexion ou avant, je dois donc me connecter manuellement à chaque fois, et parfois la connexion est perdue.

J'ai besoin de tout le trafic pour passer par la connexion VPN à tout moment; chaque fois que le VPN n'est pas connectable pour une raison quelconque, je veux que la solution de rechange soit sans connexion. Je dois m'assurer

  • que OS X ne se connecte pas à Internet sur ma connexion Internet régulière, ou pas du tout pendant le démarrage (jusqu'à l'écran de connexion, pour la synchronisation de l'heure et d'autres choses possibles "appeler à la maison", etc.). Quels services, le cas échéant, essaient de le faire, et comment puis-je pratiquement analyser et modifier ce qui se passe avec le réseau pendant le démarrage? Existe-t-il un moyen de se connecter au VPN plus tôt que juste après la connexion?

  • que si ma connexion VPN est temporairement perdue, les applications ne continuent pas à communiquer via ma connexion non chiffrée habituelle.

Je veux essentiellement que le système agisse comme si la connexion réseau était complètement perdue si la connexion VPN échoue, mais actuellement, il continue de fonctionner comme si de rien n'était. Que puis-je faire pour mon système afin qu'une fois qu'un VPN est établi, tout le trafic ne peut traverser cette connexion et aucun trafic ne peut circuler si la connexion tombe?


Je me demande si cela pourrait être fait en créant une route statique. Votre prochain saut pourrait être le VPN, mais il pourrait être difficile d'établir le VPN du tout. Hrm.
Harv

Réponses:


3

Vous avez besoin d'un pare-feu entre vous et Internet qui bloquera tout le trafic, sauf le trafic vers l'adresse IP de votre hôte VPN

Votre routeur aura plus que probablement cette fonctionnalité intégrée


2

Mac OS X inclut la commande basée sur la ligne de ipfwcommande qui vous permet de définir des règles avancées de pare-feu local.

ipfw fonctionne avec des règles qui sont écrites et vérifiées dans l'ordre. Par conséquent, les règles de faible nombre sont d'abord vérifiées vers la fin de la liste. Il existe deux approches lors de la configuration des pare-feu:

  • Fermeture du réseau + Autoriser le trafic
  • Ouvrir le réseau + Refuser le trafic

Dans votre cas, vous devez fermer tout le trafic, puis autoriser uniquement le trafic vers l'adresse IP de votre VPN, en utilisant uniquement les ports utilisés par votre VPN. Cela empêchera tous les paquets parasites de sortir tant que vos règles sont strictes.

Il existe de nombreux guides et tutoriels sur le net pour ipfw qui sont largement utilisés dans de nombreux systèmes d'exploitation Unix et Linux, en voici quelques-uns:

Je vous suggère de les enquêter et de voir si vous êtes en mesure de comprendre suffisamment la commande pour l'essayer. Au minimum, je recommanderais de vous assurer de savoir comment désactiver le pare-feu et effacer les règles au cas où vous noueriez votre machine en nœuds par une mauvaise configuration!

Bonne chance :)


2
À quel moment du processus de démarrage ces règles sont-elles appliquées? Pouvez-vous vous assurer qu'il n'y a pas de communication avant?
Max Ried
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.