1 votos

UFW: forzar el tráfico a través del túnel OpenVPN / no filtrar ningún tráfico

Tengo acceso VPN usando OpenVPN e intento crear una máquina segura que no filtre tráfico a través de interfaces no VPN. Usando el firewall UFW intento conseguir lo siguiente:

  • Permitir el acceso desde la LAN a la interfaz web de la máquina
  • De lo contrario, sólo permitir el tráfico en tun0 (OpenVPN-Túnel de interfaz cuando se establece)
  • Rechazar (¿o reenviar?) cualquier tráfico a través de otras interfaces

Actualmente estoy usando las siguientes reglas (sudo ufw status):

To                         Action      From
--                         ------      ----
192.168.42.11 9999/tcp     ALLOW       Anywhere           # allow web-interface
Anywhere on tun0           ALLOW       Anywhere           # out only thru tun0
Anywhere                   ALLOW OUT   Anywhere on tun0   # in only thru tun0

Mi problema es que la máquina inicialmente no es capaz de establecer la conexión OpenVPN ya que sólo se permite tun0, que aún no se ha establecido (chicken-egg-problem)

¿Cómo puedo permitir la creación de la conexión OpenVPN y, a partir de ese momento, forzar que todos los paquetes pasen por el túnel VPN?

3voto

woodsbw Puntos 334

Permitir el acceso por aplicación de servicio. No tengo una caja OpenVPN disponible en este momento, pero creo que debe ser capaz de permitir el acceso basado con un comando como:

ufw allow OpenVPN

Usted puede ver si puede utilizar VPN abierta como esta ejecutando:

ufw app list

Que mostrará aquellas aplicaciones de servicio que ufw conoce.


En el caso de que no haya un perfil OpenVPN, puede intentar usar ufw para que sólo permita conexiones salientes en esa interfaz al puerto 1194 (o al puerto en el que el servidor OpenVPN esté aceptando conexiones:

sudo ufw deny out to any
sudo ufw allow out 1194/udp 

(suponiendo una configuración OpenVPN de serie).

Esto no lo limitaría sólo a OpenVPN...pero la única posibilidad de fuga sería algo más usando ese puerto y UDP....y las posibilidades de eso son bastante bajas.

Para obtener más seguridad que el filtrado de puertos, tendrías que usar algo más sustancial que ufw. AppArmor o SELinux, creo, sería su siguiente paso, sin tener que subir a verdaderos dispositivos de firewall de capa 7.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X