- Регистрация
- 28.06.16
- Сообщения
- 41
- Реакции
- 39
Мануал копи\паст. Здесь и на соседних площадках не нашел, а ман очень полезен, поэтому выкладываю! Сам пользуюсь, все работает!
VPN — Интересное об анонимности или как уберечься от элементарных ошибок
VPN — платный (обычно) сервис, который предоставляет своему клиенту возможность шифровать свой исходящий трафик , а также в Интернете представляет клиента от своего имени (то бишь в мульти-паспорте будет IP VPN сервера вместо IP провайдера клиента).
Однако существует множество подводных камней, с которыми сталкивается клиент при использовании VPN. Один из таких камней — разрыв соединения VPN. Второй - ipv6 трафик.
Разрыв соединения VPN.
При разрыве соединения VPN происходит следующее. Трафик клиента больше не шифруется, это раз. Клиент представляется в интернете ресурсам от имени IP провайдера, это два. О какой же тут анонимности тогда говорить...
ipv6 трафик.
Часто провайдеры VPN услуг не предоставляют своим клиентам ipv6-адреса. А это значит, что когда в интернете вы столкнетесь с ресурсом, который поддерживает ipv6, то велика вероятность, что общаться с этим ресурсом вы начнете опять таки от имени IP провайдера и, конечно же, полностью открыто.
Как же быть?
Прежде всего настроить фаерволл! Если мы запретим исходящий трафик, кроме как до VPN -сервера, то при разрыве соединения VPN любые сетевые соединения и запросы будут невозможны. Вы даже не сможете выйти за пределы своего роутера или вайфай точки.
Во-вторых, необходимо запретить использование ipv6.
Итак, приступим.
1. Базовая настройка фаерволла в ОС Debian 8.
Представимся системе суперпользователем
# su
Создадим файл с правилами iptables
# nano /etc/iptables.sh
Добавим набор простых правил для базовой настройки
#!/bin/bash
# Очищаем правила iptables
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Устанавливаем правила по умолчанию (запретить любой трафик)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Разрешаем локальный трафик для loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Пропускать все инициированные соединения, а также дочерние от них
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Отбрасывать пакеты, которые не могут быть идентифицированы
iptables -A INPUT -m state --state INVALID -j DROP
# Сохраняем правила
/sbin/iptables-save > /etc/iptables_rules
Даем файлу (который мы только что создали право на запуск)
# chmod 0740 iptables.sh
Запускаем на выполнение
#sh /etc/iptables.sh
Проверяем правила
# iptables -L -v -n
Правила применились и произошла их запись в файл /etc/iptables_rules
Теперь нужно, чтобы они применялись при каждой загрузке сервера
Открываем файл /etc/network/interfaces и добавляем в него строчку
post-up iptables-restore < /etc/iptables_rules
Вот и все! Базовая настройка фаерволла завершена. Пока у вас не получится выйти в интернет. Нам ведь нужно выйти на просторы сети анонимно? Ведь так? Тогда нужно немного подождать.
2. Отключение ipv6.
Отключаем ipv6.
# echo «#disable ipv6» | tee -a /etc/sysctl.conf
# echo «net.ipv6.conf.all.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
# echo «net.ipv6.conf.default.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
# echo «net.ipv6.conf.lo.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
# sysctl -p
Проверяем, что ipv6 отключен
# ifconfig | grep inet6
3. Настройка фаерволла для VPN (клиент OpenVPN).
Открываем файл /etc/iptables.sh
# nano /etc/iptables.sh
Добавляем строчки перед строчкой # Сохраняем правила
# Настройки VPN
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -p udp -d $1/32 --dport 1194 -j ACCEPT
Запускаем скрипт и передаем ему IP VPN-сервера в качестве единственного параметра
# sh /etc/iptables.sh 45.31.212.2
(Сюда подставляйте IP VPN-сервера вашего провайдера)
Таким образом можно быстро и легко сменить IP сервера VPN (удобно переключаться между серверами. Вы же переключаетесь, правда?)
4. Бонусы.
Проверка DNS-Leak (утечка DNS) http://dnsleaktest.com
Проверка IP-Leak (Утечка IP) http://ipleak.net
Проверка ipv6-Leak (Утечка ipv6) http://ipv6-test.com
5. Бонусы DNS.
Пользуйтесь только анонимными DNS-серверами (вместо серверов, предоставляемых провайдером). Хотя при конфигурации фаерволла (как выше) утечки DNS невозможны (или почти невозможно), все же лучше подстраховаться.
Ссылка: http://opennicproject.org
Выводы:
При такой конфигурации фаерволла во время обрыва соединения VPN Огненная Стена защитит вас от утечек деанонимизирующего трафика. VPN падает и вы больше не можете использовать любые сетевые приложения пока не подымете его снова.
Решение очень простое и рабочее. Настройте свой фаерволл и защитите себя от утечек IP, DNS, ipv6 и незашифрованного трафика.
VPN — Интересное об анонимности или как уберечься от элементарных ошибок
VPN — платный (обычно) сервис, который предоставляет своему клиенту возможность шифровать свой исходящий трафик , а также в Интернете представляет клиента от своего имени (то бишь в мульти-паспорте будет IP VPN сервера вместо IP провайдера клиента).
Однако существует множество подводных камней, с которыми сталкивается клиент при использовании VPN. Один из таких камней — разрыв соединения VPN. Второй - ipv6 трафик.
Разрыв соединения VPN.
При разрыве соединения VPN происходит следующее. Трафик клиента больше не шифруется, это раз. Клиент представляется в интернете ресурсам от имени IP провайдера, это два. О какой же тут анонимности тогда говорить...
ipv6 трафик.
Часто провайдеры VPN услуг не предоставляют своим клиентам ipv6-адреса. А это значит, что когда в интернете вы столкнетесь с ресурсом, который поддерживает ipv6, то велика вероятность, что общаться с этим ресурсом вы начнете опять таки от имени IP провайдера и, конечно же, полностью открыто.
Как же быть?
Прежде всего настроить фаерволл! Если мы запретим исходящий трафик, кроме как до VPN -сервера, то при разрыве соединения VPN любые сетевые соединения и запросы будут невозможны. Вы даже не сможете выйти за пределы своего роутера или вайфай точки.
Во-вторых, необходимо запретить использование ipv6.
Итак, приступим.
1. Базовая настройка фаерволла в ОС Debian 8.
Представимся системе суперпользователем
# su
Создадим файл с правилами iptables
# nano /etc/iptables.sh
Добавим набор простых правил для базовой настройки
#!/bin/bash
# Очищаем правила iptables
iptables -F
iptables -F -t nat
iptables -F -t mangle
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Устанавливаем правила по умолчанию (запретить любой трафик)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Разрешаем локальный трафик для loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Пропускать все инициированные соединения, а также дочерние от них
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Отбрасывать пакеты, которые не могут быть идентифицированы
iptables -A INPUT -m state --state INVALID -j DROP
# Сохраняем правила
/sbin/iptables-save > /etc/iptables_rules
Даем файлу (который мы только что создали право на запуск)
# chmod 0740 iptables.sh
Запускаем на выполнение
#sh /etc/iptables.sh
Проверяем правила
# iptables -L -v -n
Правила применились и произошла их запись в файл /etc/iptables_rules
Теперь нужно, чтобы они применялись при каждой загрузке сервера
Открываем файл /etc/network/interfaces и добавляем в него строчку
post-up iptables-restore < /etc/iptables_rules
Вот и все! Базовая настройка фаерволла завершена. Пока у вас не получится выйти в интернет. Нам ведь нужно выйти на просторы сети анонимно? Ведь так? Тогда нужно немного подождать.
2. Отключение ipv6.
Отключаем ipv6.
# echo «#disable ipv6» | tee -a /etc/sysctl.conf
# echo «net.ipv6.conf.all.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
# echo «net.ipv6.conf.default.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
# echo «net.ipv6.conf.lo.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
# sysctl -p
Проверяем, что ipv6 отключен
# ifconfig | grep inet6
3. Настройка фаерволла для VPN (клиент OpenVPN).
Открываем файл /etc/iptables.sh
# nano /etc/iptables.sh
Добавляем строчки перед строчкой # Сохраняем правила
# Настройки VPN
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A OUTPUT -p udp -d $1/32 --dport 1194 -j ACCEPT
Запускаем скрипт и передаем ему IP VPN-сервера в качестве единственного параметра
# sh /etc/iptables.sh 45.31.212.2
(Сюда подставляйте IP VPN-сервера вашего провайдера)
Таким образом можно быстро и легко сменить IP сервера VPN (удобно переключаться между серверами. Вы же переключаетесь, правда?)
4. Бонусы.
Проверка DNS-Leak (утечка DNS) http://dnsleaktest.com
Проверка IP-Leak (Утечка IP) http://ipleak.net
Проверка ipv6-Leak (Утечка ipv6) http://ipv6-test.com
5. Бонусы DNS.
Пользуйтесь только анонимными DNS-серверами (вместо серверов, предоставляемых провайдером). Хотя при конфигурации фаерволла (как выше) утечки DNS невозможны (или почти невозможно), все же лучше подстраховаться.
Ссылка: http://opennicproject.org
Выводы:
При такой конфигурации фаерволла во время обрыва соединения VPN Огненная Стена защитит вас от утечек деанонимизирующего трафика. VPN падает и вы больше не можете использовать любые сетевые приложения пока не подымете его снова.
Решение очень простое и рабочее. Настройте свой фаерволл и защитите себя от утечек IP, DNS, ipv6 и незашифрованного трафика.
