Основан 26 Июля 2013 года
freehacks.ru fhacksnplmzxaaoo.onion
/images/banners/468x60_free.png

Показано с 1 по 8 из 8
  1. #1
    TopicStarter
    Аватар для toorook

    Статус
    Offline
    Регистрация
    09.11.2014
    Сообщений
    239
    Репутация
    153 + / -
    Программист

    Вырубить сеть при падении VPN linux

    Есть подключение через OpenVPN на линуксовой машине. Вопрос:
    Как вырубить инет, если упал VPN?
    Намного легче портировать шелл, чем скрипт на шелле.
    — Larry Wall


    Tox ID
    781C6CA31BAD496005FD79AAC2537A0B4B2D8A121289EC439B BAA1ED6725432522F45122D009

  2. #2
    Trust
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,710
    Репутация
    222 + / -
    Безопасность
    Иногда случается так что VPN подключение обрывается в самый неподходящий момент, причиной может быть проблема в датацентре VPN-сервера, или на канале оператора связи или другое форс-мажорное обстоятельство. Однако нам необходимо, чтобы в отсутствие VPN подключения ни одна программа не могла выдать наш реальный IP-адрес. Для этого мы поступим следующим образом:

    • Убираем маршрут по умолчанию;
    • Жестко прописываем маршруты до VPN-серверов;
    • Подключаемся;
    • Перестаем переживать из-за разрывов;



    В данной инструкции предполагается, что настраиваемая ОС подключена к сети не напрямую, а через промежуточный узел, и не имеет реального IP-адреса. Промежуточным узлом может быть домашний маршрутизатор или хост машина ( в случае использования виртуализации).Без соблюдения этого условия в такой защите пропадает смысл, так как любой софт может получить список IP-адресов на компьютере.



    • Первым делом нам надо перенастроить основное подключение к сети Internet. Нам необходимо удалить шлюз по умолчанию. В случае отключения VPN-соединения Windows будет слать пакеты через этот хост, а когда его нет, слать будет некуда. ВНИМАНИЕ! Запишите адрес шлюза, так как он понадобится в дальнейшем. В нашем примере адрес шлюза будет 10.0.2.2
    • Находим адреса VPN-серверов. Их можно найти либо в конфигурационных файлах OpenVPN, либо запустить OpenVPN и искать строчки вида:Mon Nov 21 05:10:09 2011 Attempting to establish TCP connection with 1.23.45.67:1194
      В данном примере искомый адрес VPN-сервера 1.23.45.67
    • Прописываем маршрут до целевых VPN-серверов. Для этого открываем консоль Windows. Запускать ее надо с правами администратора.
    • Команда добавления маршрута имеет вид route add IPVPNSERVERA IPSHLUZA -p. Для нашего VPN-сервера прописываем маршрут так:route add 1.23.45.67 10.0.2.2 -p
    • Подключаем OpenVPN и смотрим лог подключения. Сейчас нам необходимо узнать адрес основного шлюза который выдает OpenVPN. Для этого ищем подобные строки:Thu Dec 01 06:49:59 2011 TAP-Win32 Driver Version 9.6 Thu Dec 01 06:49:59 2011 TAP-Win32 MTU=1500 Thu Dec 01 06:49:59 2011 Set TAP-Win32 TUN subnet mode network/local/netmask = 10.100.1.0/10.100.1.2/255.255.255.0 [SUCCEEDED] Thu Dec 01 06:49:59 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of10.100.1.2/255.255.255.0 on interface {6A578229-0518-4820-BD01-88E028A41FFB} [DHCP-serv: 10.100.1.254, lease-time: 31536000]
      Из лога видно, что VPN использует сеть 10.100.1.0/24 и адрес шлюза будет 10.100.1.1. Прописываем на него маршрут по умолчанию в консоли:route add 0.0.0.0 mask 0.0.0.0 10.100.1.1
    • Готово. При отключении OpenVPN связь с интернетом будет полностью пропадать. Ни один запрос с вашего компьютера не уйдет дальше подконтрольной вам сети.


    (c)secretsline.biz
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  3. #3
    Заблокирован по собственному желанию
    Аватар для DeNZeL

    Статус
    Offline
    Регистрация
    29.10.2014
    Сообщений
    454
    Репутация
    140 + / -
    Безопасность
    Самый простой вариант на Python скрипт написать, который будет пинговать адрес VPN и если пинг не прошел то /etc/init.d/networking stop или service network stop...
    Админ знает более изощренный способ ))
    Последний раз редактировалось DeNZeL; 24.02.2015 в 12:49.

  4. #4
    TopicStarter
    Аватар для toorook

    Статус
    Offline
    Регистрация
    09.11.2014
    Сообщений
    239
    Репутация
    153 + / -
    Программист
    В тот промежуток времени когда скрипт отключает интерфейсы, не сможет ли какая нить прога отправить пару пакетов, которые спалят тебя?
    Намного легче портировать шелл, чем скрипт на шелле.
    — Larry Wall


    Tox ID
    781C6CA31BAD496005FD79AAC2537A0B4B2D8A121289EC439B BAA1ED6725432522F45122D009

  5. #5
    Заблокирован по собственному желанию
    Аватар для DeNZeL

    Статус
    Offline
    Регистрация
    29.10.2014
    Сообщений
    454
    Репутация
    140 + / -
    Безопасность
    Цитата Сообщение от toorook Посмотреть сообщение
    В тот промежуток времени когда скрипт отключает интерфейсы, не сможет ли какая нить прога отправить пару пакетов, которые спалят тебя?
    Ну если он будет каждую секунду чекать, то сомневаюсь. Хотя все возможно.

  6. #6
    Аватар для sata-ata

    Статус
    Offline
    Регистрация
    29.10.2013
    Сообщений
    3,184
    Репутация
    326 + / -
    Программист
    Цитата Сообщение от DeNZeL Посмотреть сообщение
    Ну если он будет каждую секунду чекать, то сомневаюсь. Хотя все возможно.
    Успеет (
    Мб отключить автореконнект?
    А чекать слишком напряжно для сети будет
    8AC4F56356469F79B5283364053ACDA49D8EC9FEFDADC2B42F A5B4E979D9222267583F350BF9

    с/delphi/pascal/vbs/vbm/bat
    Ник зареган, суки! [Только зарегистрированные могут видеть это. ]

  7. #7
    TopicStarter
    Аватар для toorook

    Статус
    Offline
    Регистрация
    09.11.2014
    Сообщений
    239
    Репутация
    153 + / -
    Программист
    Чуваки я тут почитал [Только зарегистрированные могут видеть это. ]
    и вот:
    Даже если ты все настроил правильно и твой VPN-трафик не утекает в сеть в открытом виде — это еще не повод расслабляться. Все дело в том, что если кто-то перехватит зашифрованные данные, передаваемые через VPN-соединение, то он сможет их расшифровать. Причем на это никак не влияет, сложный у тебя пароль или простой. Если ты используешь VPN-соединение на базе протокола PPTP, то со стопроцентной уверенностью можно сказать, что весь перехваченный зашифрованный трафик можно расшифровать.
    OpenVPN это же не PPTP ??? Или же одна и та же хреновина?
    Намного легче портировать шелл, чем скрипт на шелле.
    — Larry Wall


    Tox ID
    781C6CA31BAD496005FD79AAC2537A0B4B2D8A121289EC439B BAA1ED6725432522F45122D009

  8. #8
    TopicStarter
    Аватар для toorook

    Статус
    Offline
    Регистрация
    09.11.2014
    Сообщений
    239
    Репутация
    153 + / -
    Программист
    Тут вот что надыбал - [Только зарегистрированные могут видеть это. ]
    Why

    If you simply add a VPN using common instructions, it generally fails open. That means, if the VPN breaks down, because the connection is interrupted, traffic will be send without the VPN.

    It's much safer when it fails closed, i.e. when the VPN connection breaks down, the whole internet connection must be down as long as the VPN connection isn't restored.
    What does it do

    Forbid outgoing traffic after the VPN software broke down for some reason.
    Tight firewall rules, using iptables policy drop.
    Only tested with OpenVPN. Should work with other VPN clients such as PPTP in theory, you should test if it does what it claims anyway.
    Only tested on Debian Wheezy and Whonix. Should work on any other Linux distribution in theory, you should test if it does what it claims.
    Open Source / Free Software
    Намного легче портировать шелл, чем скрипт на шелле.
    — Larry Wall


    Tox ID
    781C6CA31BAD496005FD79AAC2537A0B4B2D8A121289EC439B BAA1ED6725432522F45122D009

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.