Iptables Verständnisfrage - Hilfegesuch
Hallo,
ich habe auf meinem DD-WRT Router einen VPN CLIENT zu einem Anbieter laufen.
Der DD-WRT (192.168.178.8) ist per LAN an einer Fritzbox (192.168.178.1) angeschlossen (ja ein Netzwerk, aber zwei getrennte HDCP Bereiche).
DIe Clients die den DD WRT als GATEWAY haben sind einwandfrei im VPN.
So weit so gut ,-)
Meinen "Killswitch" bzw, Absicherung vor IP Leaks habe ich so gestaltet.
iptables -I FORWARD ! -o tun0 -s 192.168.178.0/24 -j DROP # das Netzwerk darf nur über tun0 kommunizieren, sonst gar nicht.
Wenn ich den VPN Prozess stoppe, bzw. das VPN noch nicht gestarte ist, fliessen auch keinerlei Daten ins Internet.
Weitere IPtables:
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Problem: Bei einer bestimmten Konstallation, ISP Reconnect, Router Reboot, OPEN reconnect kann es doch aber vorkommen, das meine ISP IP benutzt wird (geprüft mit whoer.net usw.)
Wie verhindere ich das? Kann ich z.B. noch eine Sicherung einziehen, dass nur über Port 1194 kommuniziert werden darf, oder nur zum Server usw??
Wenn ja wie?
Anbei noch die Router und Iptables:
root@DD-WRT:~# iptables -nvL
Chain INPUT (policy ACCEPT 5795 packets, 2369K bytes)
pkts bytes target prot opt in out source destination
14 1154 REJECT 0 -- tun0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
652 48462 DROP 0 -- * !tun0 192.168.178.0/24 0.0.0.0/0
4004 1932K ACCEPT 0 -- tun0 br0 0.0.0.0/0 0.0.0.0/0
4265 2147K ACCEPT 0 -- br0 tun0 0.0.0.0/0 0.0.0.0/0
root@DD-WRT:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.33.x.5 128.0.0.0 UG 0 0 0 tun0
default fritz.box 0.0.0.0 UG 0 0 0 br0
10.33.x.1 10.33.x.5 255.255.255.255 UGH 0 0 0 tun0
10.33.x.5 * 255.255.255.255 UH 0 0 0 tun0
4x.xx.33.117 fritz.box 255.255.255.255 UGH 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
128.0.0.0 10.33.117.x 128.0.0.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 br0
192.168.178.0 * 255.255.255.0 U 0 0 0 br0
DANKE!
ich habe auf meinem DD-WRT Router einen VPN CLIENT zu einem Anbieter laufen.
Der DD-WRT (192.168.178.8) ist per LAN an einer Fritzbox (192.168.178.1) angeschlossen (ja ein Netzwerk, aber zwei getrennte HDCP Bereiche).
DIe Clients die den DD WRT als GATEWAY haben sind einwandfrei im VPN.
So weit so gut ,-)
Meinen "Killswitch" bzw, Absicherung vor IP Leaks habe ich so gestaltet.
iptables -I FORWARD ! -o tun0 -s 192.168.178.0/24 -j DROP # das Netzwerk darf nur über tun0 kommunizieren, sonst gar nicht.
Wenn ich den VPN Prozess stoppe, bzw. das VPN noch nicht gestarte ist, fliessen auch keinerlei Daten ins Internet.
Weitere IPtables:
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Problem: Bei einer bestimmten Konstallation, ISP Reconnect, Router Reboot, OPEN reconnect kann es doch aber vorkommen, das meine ISP IP benutzt wird (geprüft mit whoer.net usw.)
Wie verhindere ich das? Kann ich z.B. noch eine Sicherung einziehen, dass nur über Port 1194 kommuniziert werden darf, oder nur zum Server usw??
Wenn ja wie?
Anbei noch die Router und Iptables:
root@DD-WRT:~# iptables -nvL
Chain INPUT (policy ACCEPT 5795 packets, 2369K bytes)
pkts bytes target prot opt in out source destination
14 1154 REJECT 0 -- tun0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
652 48462 DROP 0 -- * !tun0 192.168.178.0/24 0.0.0.0/0
4004 1932K ACCEPT 0 -- tun0 br0 0.0.0.0/0 0.0.0.0/0
4265 2147K ACCEPT 0 -- br0 tun0 0.0.0.0/0 0.0.0.0/0
root@DD-WRT:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.33.x.5 128.0.0.0 UG 0 0 0 tun0
default fritz.box 0.0.0.0 UG 0 0 0 br0
10.33.x.1 10.33.x.5 255.255.255.255 UGH 0 0 0 tun0
10.33.x.5 * 255.255.255.255 UH 0 0 0 tun0
4x.xx.33.117 fritz.box 255.255.255.255 UGH 0 0 0 br0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
128.0.0.0 10.33.117.x 128.0.0.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 br0
192.168.178.0 * 255.255.255.0 U 0 0 0 br0
DANKE!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276556
Url: https://administrator.de/contentid/276556
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
1 Kommentar
moin
vielleicht findest du hier ne antwort, hab noch nicht alle iptable-videos gesehen, daher vielleicht.
https://www.youtube.com/watch?v=hpJYqKiulV8&list=PLnzEbgyK52GvB8t7a0 ...
gruß dirk
vielleicht findest du hier ne antwort, hab noch nicht alle iptable-videos gesehen, daher vielleicht.
https://www.youtube.com/watch?v=hpJYqKiulV8&list=PLnzEbgyK52GvB8t7a0 ...
gruß dirk