Nabend,
ich bastle gerade an iptables-Regeln um meinem PC nur Netzwerkverkehr im lokalen Netzwerk (192.168.1.0/24) und zu meinem VPN-Provider (ipredator.se, 46.246.32.0/19) zu erlauben.
Beim booten verbindet sich der Rechner mit dem VPN und sollte so verbleiben. Bei einem Abrruch möchte ich jeglichen Internetverkehr unterdrückt sehen 😀
Lediglich das lokale Netzwerk sollte aktiv bleiben, damit u.a. mein Raspberry weiterhin Zugriff hat, auch wenn der VPN offline ist.
Meine Regeln sehen zu Zeit so aus, und machen nach meinen Tests auch einen guten Eindruck.
iptables -F iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i tun0 -j ACCEPT iptables -A INPUT -s 46.246.32.0/19 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -o tun0 -j ACCEPT iptables -A OUTPUT -d 46.246.32.0/19 -j ACCEPT iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
Jetzt die erste Frage an euch: Sind die Regeln "sicher"? Sind die Regeln verbesserbar?
Und zum Zweiten: Wie lassen sich die Regeln für den Betrieb auf einem OpenWRT-Router verändern? Im offiziellen Forum habe ich leider keine Hilfe erhalten. Der Router (192.168.1.1) sollte nur meinem PC (192.168.1.2, und/oder Identifikation über MAC?) das Internet verbieten, aber wie gehabt LAN und VPN freigeben. Hat da jemand eine Idee?