Begränsa anslutningen till endast VPN.

Tråden skapades och har fått 12 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • Luleå
  • 2012-04-26 09:57

Tjenare,
Jag undrar om det finns något sätt att begränsa så att den enda anslutningen som tillåts är via VPN, och om VPN kopplar ner så finns det ingen kontakt ut/in tills dess att VPN kopplats upp på nytt.

Jag har försökt hitta någon lösning på detta ett tag nu, och det enda jag hitils har lyckats hitta är att ställa in regler i /etc/pf.conf (Däremot får jag det inte att fungera).

Är det någon som har ett tips på hur jag kan få till detta, antingen genom att lägga till regler i pf.conf eller om det finns någon annan lösning.

Tack på förhand!

(Mac OS X 10.7.3, använder Mac OS X egna VPN-klient)

Detta kanske hjälper? Is there a way to force OS X Lion to connect to a VPN whenever there's network connectivity? - Super User

Eller om du kan, ställ in VPN-inställningarna i din router.

  • Medlem
  • Luleå
  • 2012-04-26 11:02

Tack!
Ska kolla in det när jag kommer hem, och om det fungerar så skriver jag ut exakt vad jag gjorde/vilka problem jag stötte på här om någon annan undrar.

  • Medlem
  • Luleå
  • 2012-04-26 16:01

En liten uppdatering:

Snubblade över ett program som heter IceFloor, det är helt enkelt ett program som ger dig ett GUI till ipfw.
Det innebär att det blir fruktansvärt mycket enklare för mig, frågan är bara om det är möjligt att lägga till en regel som stoppar all trafik om den inte går via VPN.

Har inte hunnit testa och känner inte till något om detta program, vet inte när/om jag kommer få tid heller.
Men tänkte att jag skriver det här om någon annan känner till programmet eller vill testa.

Macworld om IceFloor: Tweaking Lion's firewall | Macworld

Ursprungligen av Egge:

En liten uppdatering:

Snubblade över ett program som heter IceFloor, det är helt enkelt ett program som ger dig ett GUI till ipfw.
Det innebär att det blir fruktansvärt mycket enklare för mig, frågan är bara om det är möjligt att lägga till en regel som stoppar all trafik om den inte går via VPN.

Har inte hunnit testa och känner inte till något om detta program, vet inte när/om jag kommer få tid heller.
Men tänkte att jag skriver det här om någon annan känner till programmet eller vill testa.

Macworld om IceFloor: Tweaking Lion's firewall | Macworld

Följ gärna upp tråden, då jag själv inte har någon erfarenhet inom detta område, och säkerligen många med mig.

  • Medlem
  • Luleå
  • 2012-04-27 14:31
Ursprungligen av keptang:

Följ gärna upp tråden, då jag själv inte har någon erfarenhet inom detta område, och säkerligen många med mig.

Absolut, det ska jag göra!

Kan informera att jag hittat detta, och ska testa med hjälp av IceFloor hade jag tänkt.
Detta ska först blockera all trafik från enX, sedan öppna för kommunikation emot vpn-server, och sedan tillåta trafik att pasera via VPN.

block out on <interface> from 192.168.0.0/16 to any
pass out quick on <interface> from 192.168.0.0/16 to <insert vpn-server>
pass out quick on <vpn-interface> from any to any

Men jag vet inte om det innebär att alla andra regler som är satta i vanliga brandväggsinställningarna ignoreras, återstår att se. Men som den pessimist jag är så tror jag inte att det kommer fungera.

Senast redigerat 2012-04-27 14:42
  • Medlem
  • Sollentuna
  • 2012-04-26 17:37

Vad händer om du river ut enX (och allt annat som ger dig IP) i Network i System Preferences och enbart har ett VPN? Visserligen går ju VPN över ethernet, men jag kunde i alla fall fixa en konfiguration med enbart VPN (dock ej inställd) i Lion.

  • Medlem
  • Luleå
  • 2012-04-26 21:19

Det är svårt att bara riva ut enX, det man kan göra är ta bort gateway från enX när man anslutit till VPN. Men det känns lite omständigt att göra den lösningen hela tiden. Dessutom kör jag via WiFi och därför måste jag ha den anslutningen.

Senast redigerat 2012-04-26 21:37
  • Medlem
  • International user
  • 2012-04-26 17:45

Det "säkraste" är nog att ändra routingen så att trafiken endast kan gå via VPN.

Något i stil med sudo route -nv add -net 192.168.0.0/16 192.168.235.1

  • Medlem
  • Luleå
  • 2012-04-26 21:13
Ursprungligen av zappee:

Det "säkraste" är nog att ändra routingen så att trafiken endast kan gå via VPN.

Något i stil med sudo route -nv add -net 192.168.0.0/16 192.168.235.1

Jo, det är sån lösning jag vill göra.
Problemet är att jag är på tok för okunnig för tillfället, så jag måste i sådana fall läsa på lite om nu ingen vet exakt hur man ska göra dvs.

  • Medlem
  • International user
  • 2012-04-26 21:50
Ursprungligen av Egge:

Jo, det är sån lösning jag vill göra.
Problemet är att jag är på tok för okunnig för tillfället, så jag måste i sådana fall läsa på lite om nu ingen vet exakt hur man ska göra dvs.

Tyvärr har jag bara erfarenhet från Winodws ang. detta så du for nog googla lite!

Har din router/fw mot bredbandet ingen funktionalitet för access-listor. Isåfall är det ju bara att tillåta access mot VPN servern men spärra allt annat....

  • Medlem
  • Luleå
  • 2012-05-08 21:08
Ursprungligen av lilledanne:

Har din router/fw mot bredbandet ingen funktionalitet för access-listor. Isåfall är det ju bara att tillåta access mot VPN servern men spärra allt annat....

Absolut, det är ett alternativ för dom som endast vill ha det så hemma. Jag vill främst att det ska gälla när jag ansluter till andra nätverk än mitt eget.

Hur som helst så har jag faktiskt testat IceFloor och kan säga att det är ganska sjysst, men för er som testat WaterRoof så kan jag säga att det är samma programm i stort sett.

Däremot har jag inte lyckats lösa det så att trafiken endast går via VPN, och att det kopplar ner om VPN-anslutning tappas.
Jag ska fortsätta försöka hitta någon lösning, men om någon annan kommer på något vettigt sätt så får ni gärna dela med er.

1
Bevaka tråden