Încerc să implementez un killswitch OpenVPN.
Scopul meu este ca TOT traficul să fie forțat prin interfața OpenVPN tun
++ iptables -vL -n -t filtru
INTRARE în lanț (politica DROP 2 pachete, 221 octeți)
pkts bytes target prot opt in out source destination
3064 543K ACCEPT pe toate -- * * 10.1.3.0/24 0.0.0.0/0
65 8711 ACCEPT toate -- lo * 0.0.0.0/0 0.0.0.0/0
1200 101K ACCEPT toate -- tun+ * 0.0.0.0/0 0.0.0.0/0
1380 194K ACCEPT toate -- * * 0.0.0.0/0 0.0.0.0/0 stare STABILIT
Lanț FORWARD (politica DROP 0 pachete, 0 octeți)
pkts bytes target prot opt in out source destination
0 0 ACCEPT toate -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT toate -- * tun+ 0.0.0.0/0 0.0.0.0/0
IEȘIRE în lanț (politica DROP 55 pachete, 3821 octeți)
pkts bytes target prot opt in out source destination
3701 372K ACCEPT pe toate -- * * 0.0.0.0/0 0.0.0.0/0 proprietar UID potrivire 0
1397 994K ACCEPT pe toate -- * * 0.0.0.0/0 10.1.3.0/24
67 8765 ACCEPT toate -- * lo 0.0.0.0/0 0.0.0.0/0
710 59654 ACCEPT toate -- * tun+ 0.0.0.0/0 0.0.0.0/0
+ ip netns exec dewinetns235 ip route
personalizat: 0.0.0.0/1 prin 188.72.101.193 dev tun0
personalizat: implicit prin 10.1.3.1 dev veth1
personalizat: 10.1.3.0/24 dev veth1 proto kernel scope link src 10.1.3.2
personalizat: 128.0.0.0/1 prin 188.72.101.193 dev tun0
personalizat: 188.72.101.192/28 dev tun0 proto kernel scope link src 188.72.101.194
personalizat: 188.72.101.245 prin 10.1.3.1 dev veth1
Permit oricărui utilizator să trimită/ să primească date pe interfața OpenVPN tun+.
Dar numai utilizatorul root poate trimite trafic pe ORICE interfață
Încep qbittorrent-nox ca dewi utilizator - deoarece vreau doar să folosească tun+ Interfață OpenVPN
Problema este că torrentele nu se descarcă.
Iată jurnalul:
(N) 2022-01-03T22:29:30 - Folosind directorul de configurare: /home/dewi/.config/qBittorrent/
(I) 2022-01-03T22:29:30 - Încerc să ascult pe: 0.0.0.0:24435,[::]:24435
(N) 2022-01-03T22:29:30 - ID peer: -qB4390-
(N) 2022-01-03T22:29:30 - Agentul utilizator HTTP este „qBittorrent/4.3.9”
(I) 2022-01-03T22:29:30 - Suport DHT [ACTIVAT]
(I) 2022-01-03T22:29:30 - Asistență Local Peer Discovery [ON]
(I) 2022-01-03T22:29:30 - Suport PeX [ON]
(I) 2022-01-03T22:29:30 - Modul anonim [OFF]
(I) 2022-01-03T22:29:30 - Suport pentru criptare [ON]
(I) 2022-01-03T22:29:30 - Suport UPnP / NAT-PMP [ACTIVAT]
(I) 2022-01-03T22:29:30 - Baza de date de geolocalizare IP încărcată. Tip: DBIP-Country-Lite. Timp de construcție: sâmbătă, 1 ianuarie 01:11:53 2022.
(N) 2022-01-03T22:29:30 - Folosind interfața de utilizare web încorporată.
(W) 2022-01-03T22:29:30 - Nu s-a putut încărca traducerea interfeței de utilizare web pentru localitatea selectată (C).
(N) 2022-01-03T22:29:30 - Web UI: Acum se ascultă pe IP: *, port: 8080
(I) 2022-01-03T22:29:30 - Ascultare cu succes pe IP: 127.0.0.1, port: TCP/24435
(I) 2022-01-03T22:29:30 - Ascultare cu succes pe IP: 127.0.0.1, port: UDP/24435
(I) 2022-01-03T22:29:30 - Ascultare cu succes pe IP: 10.1.3.2, port: TCP/24435
(I) 2022-01-03T22:29:30 - Ascultare cu succes pe IP: 10.1.3.2, port: UDP/24435
(I) 2022-01-03T22:29:30 - Ascultare cu succes pe IP: ::1, port: TCP/24435
(I) 2022-01-03T22:29:30 - Ascultare cu succes pe IP: ::1, port: UDP/24435
(N) 2022-01-03T22:29:30 - „Lacrimi de oțel” restaurat.
(W) 2022-01-03T22:29:31 - Căutarea numelui de bază URL a eșuat. Torrent: „Lacrimi de oțel”. Adresa URL: „https://webtorrent.io/torrents/”. Eroare: „Semințele URL Tears of Steel (https://webtorrent.io/torrents/) nu au reușit: Gazda nu a fost găsită (ne-autoritară), încercați din nou mai târziu”
(I) 2022-01-03T22:29:31 - Ascultare cu succes pe IP: fe80::9854:c0ff:fe91:8615%veth1, port: TCP/24435
(I) 2022-01-03T22:29:31 - Ascultare cu succes pe IP: fe80::9854:c0ff:fe91:8615%veth1, port: UDP/24435
(I) 2022-01-03T22:29:38 - Ascultare cu succes pe IP: fe80::adff:cb13:634d:1de8%tun0, port: TCP/24435
(I) 2022-01-03T22:29:38 - Ascultare cu succes pe IP: fe80::adff:cb13:634d:1de8%tun0, port: UDP/24435
(I) 2022-01-03T22:29:38 - Ascultare cu succes pe IP: 188.72.101.194, port: TCP/24435
(I) 2022-01-03T22:29:38 - Ascultare cu succes pe IP: 188.72.101.194, port: UDP/24435
(N) 2022-01-03T22:29:53 - Conectare WebAPI reușită. IP: ::ffff:10.1.3.1
(C) 2022-01-03T22:32:14 - UPnP/NAT-PMP: Eroare de mapare a portului, mesaj: nu s-a putut mapa portul folosind UPnP: nu a fost găsit niciun router
(C) 2022-01-03T22:32:14 - UPnP/NAT-PMP: Eroare de mapare a portului, mesaj: nu s-a putut mapa portul folosind UPnP: nu a fost găsit niciun router
(I) 2022-01-03T22:37:21 - IP extern detectat: 188.72.101.194
Interesant de văzut următoarea linie:
(W) 2022-01-03T22:29:31 - Căutarea numelui de bază URL a eșuat. Torrent: „Lacrimi de oțel”. Adresa URL: „https://webtorrent.io/torrents/”. Eroare: „Semințele URL Tears of Steel (https://webtorrent.io/torrents/) nu au reușit: Gazda nu a fost găsită (ne-autoritară), încercați din nou mai târziu”
Pot curl google. Reușește să rezolve numele de gazdă
dewi@dewiserver:~/.local/share/qBittorrent/logs$ curl google.com
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>301 mutat</TITLE></HEAD><BODY>
<H1>301 mutat</H1>
Documentul s-a mutat
<A HREF="http://www.google.com/">aici</A>.
</BODY></HTML>
Setarea regulilor ipable implicite la ALLOW nu produce eroarea de mai sus și torrent-ul se descarcă cu succes.
Ce este ciudat, când folosesc restricția mea de regulă iptable este că acest test IP torrent funcționează și îmi aduce corect înapoi adresa IP publică Openvpn
https://torguard.net/checkmytorrentipaddress.php
