înregistrare Logare
Puncte:0
freddie_ventura avatar Server

Utilizarea unei politici implicite BlockOutbound în Win10 pentru a tunel complet tot traficul WAN prin interfața TUN/TAP

drapel th
freddie_ventura

Așa că am o mică întrebare despre „utilizarea avansată a firewallului” în Win10.

Am un VPN care rulează într-un VPS cu openvpn , rulând ca un farmec și am vrut să filtrez toate rețelele gazdei mele (în acest caz Win10) Ceea ce vreau să spun prin filtrare este să aplic o politică strictă de „BlockInbound,BlockOutbound”, așa că pot doar să adaug reguli pentru a permite comunicarea cu VPS-ul meu pentru a stabili tunelul VPN, (deci va crea o nouă interfață TUN) și apoi lăsați acest ultim dispozitiv să aibă AllowOutbound.

Iată o mică diagramă a situației, deși nu este perfectă

             +----------------+
             | WAN |
             | |
             +----------------+
                 ^        
                 |        
                 |        
                 |        
                 |        
                 |        
                 V        
             +----------------+
             |192.100.100.100 |
             | VPS-ul meu |
             +----------------+
    10.8.0.1/24 ^ ^ Port VPN: 443
                 | |
                 | |
                 | |
                 | |
          TUN nic| |
    Placă fără fir 10.8.0.X/24 V V
             +----------------+         
             | |
             | ENDHOST |
             +----------------+

Problema de aici este cu sistemul Windows Firewall, cu care sunt obișnuit ufw în linux și ar putea descrie setul de reguli, aici suntem puțin mai restricționați

1) Setarea politicilor implicite

netsh advfirewall set allprofiles BlockInbound,BlockOutBound

2) Permiterea NIC-ului wireless să stabilească tunelul cu VPS-ul - Fie setați serverul opevpn pentru a servi clienții pe același inport al clientului - Sau pot seta o regulă care să permită numai IP-ul VPS-ului (nu este nevoie de ajustări ale serverului)

netsh advfirewall firewall add rule name="Acceptați traficul de la VPN pe NIC-ul extern" dir=in action=allow remoteip=192.100.100.100 protocol=tcp 
netsh advfirewall firewall add rule name="Acceptați traficul de la VPN pe NIC-ul extern" dir=out action=allow remoteip=192.100.100.100 protocol=tcp

3) Permiterea interfeței TUN să aibă conectivitate WAN nerestricționată Aici avem o limitare în Windows, dacă verificați netsh pentru a crea o regulă puteți

 netsh>advfirewall firewall add regula ?
 +--------------------------------------------- -----------------------
 |Utilizare: adăugați numele regulii=<șir>
 | dir=in|out
 | action=allow|bloch|bypass
 | [program=<calea programului>]
 | [serviciu=<nume scurt al serviciului>|orice]
 | [descriere=<șir>]
 | [activare=da|nu (implicit=da)]
 | [profil=public|privat|domeniu|orice[,...]]
 | [localip=orice|<adresă IPv4>|<adresă IPv6>|<subrețea>|<gamă>|<listă>]
 | [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
 | <adresă IPv4>|<adresă IPv6>|<subrețea>|<gamă>|<listă>]
 | [localport=0-65535|<port range>[,...]|RPC|RPC-EPMap|IPHTTPS|orice (implicit=orice)]
 | [remoteport=0-65535|<port range>[,...]|orice (implicit=orice)]
 | [protocol=0-255|icmpv4|icmpv6|icmpv4:tip,cod|icmpv6:tip,cod|
 | tcp|udp|orice (implicit=orice)]
 | [interfacetype=wireless|lan|ras|any]
 | [rmtcomputergrp=<șir SDDL>]
 | [rmtusrgrp=<șir SDDL>]
 | [edge=da|deferapp|deferuser|nu (implicit=nu)]
 | [security=authenticate|authenc|authdynenc|authnoencap|nu este obligatoriu
 | (implicit=nu este obligatoriu)]
 +--------------------------------------------- -------------------------------
 
NOTĂ!! [interfacetype=wireless|lan|ras|any]

Nu este interfaceName să nu filtreze nici unul tipul de interfață distinge destul de mult categoria interfeței TUN

Cu condiția să avem

netsh>interfață arată interfața

Admin State State Tip Nume interfață
--------------------------------------------- -----------------------
Activat Conectat Dedicat OpenVPN TAP-Windows6 -------------> ȚINTĂ
Activat Deconectat Conexiune PdaNet în bandă largă dedicată
Wi-Fi dedicat conectat activat
Activat Deconectat Ethernet dedicat

Aceste informații nu îmi spun cu adevărat informații despre tipul interfeței, dar după ce am întrebat într-un chat, mi s-a spus că interfețele TAP sunt văzute ca interfacetype=lan Deci, deoarece conexiunea mea reală va fi wireless, am un set de reguli care se potrivește situației mele

netsh advfirewall firewall add rule name="Permite traficul de ieșire prin interfețele LAN (pentru TUN)" dir=out action=allow interfacetype=lan remoteip=any
netsh advfirewall firewall add rule name="Permit LAN Traffic out" dir=out remoteip=localsubnet

Așa că merg înainte și, din păcate, planul nu funcționează. În primul rând, nu trebuie să mă conectez la formularul de cerere LAN pentru a obține WAN (pentru asta dezactivez temporar firewall-ul). Odată ce obțin contractul de închiriere IP, activez din nou firewall-ul și vești bune am conectivitate cu VPS-ul meu, așa că continui să conectez OpenVPN, se conectează. Bun!! Dar paginile web nu se încarcă, solicitările ping nu ajung și nu pot descrie unde ar putea fi problema.

Vreo idee?

44
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.