VPNTunnel und iptables

**winniwinter** · 27. 02. 2011, 20:32

Hi,

habe mir einen ubuntu Server aufgesetzt. Darauf läuft jetzt sabnzbd und utorrent. Ich habe ebenfalls openvpn client installiert in Verbindung mit vpntunnel.se
Ich möchte nun gerne, dass sobald die vpn verbindung gekappt wird kein traffic mehr über sabnzbd und utorrent laufen.
Kann ich das über iptables verwirklichen?

**Kugelfisch23** · 28. 02. 2011, 12:17

iptables bzw. Netfilter kann keine Pakete basierend auf der verursachenden Anwendung (z.B. SABnzbd oder uTorrent) filtern. Möglich wäre lediglich, alle durch die physische Netzwerkschnittstelle ausgehenden Pakete, die nicht an den VPNTunnel.se-OpenVPN-Endpunkt gerichtet sind, ggf. mit gewissen Ausnahmen (z.B. Pakete mit gewissen Quellports, um die Verwaltung per SSH, einen Zugriff auf einen eventuellen Webserver o.ä. nach wie vor zu gestatten) aktiv abzuweisen oder zu verwerfen. Würde das für deine Anwendung ausreichen?

Alternativ könnte man natürlich versuchen, die durch SABnzbd bzw. uTorrent erzeugten Pakete über Merkmale wie z.B. Quell- und Zielport oder Quell-/Zieladdresse zu identifizieren. Während dies bei den NNTP-Paketen von SABnzbd einfach sein wird (die Ziel-Adresse wird immer der Newsserver-Adresse deines Usenet-Zugangsanbieters entsprechen), ist das bei den BT-Paketen von uTorrent nicht ohne Weiteres möglich.

**winniwinter** · 28. 02. 2011, 13:48

alle durch die physische Netzwerkschnittstelle ausgehenden Pakete, die nicht an den VPNTunnel.se-OpenVPN-Endpunkt gerichtet sind, ggf. mit gewissen Ausnahmen (z.B. Pakete mit gewissen Quellports, um die Verwaltung per SSH, einen Zugriff auf einen eventuellen Webserver o.ä. nach wie vor zu gestatten) aktiv abzuweisen oder zu verwerfen. Würde das für deine Anwendung ausreichen?

Das wäre perfekt!

Außerdem möchte ich den Zugriff von außen auf die Weboberflächen von sabnzbd sperren (spezieller Port). Es soll nur möglich sein intern bzw. per SSH auf die Seiten zuzugreifen (Portforwarding)

Ich schätze ich muss dann für diesen Port eine Außnahme für das interne Netz hinzufügen? Bei mir 192.168.0.X

**Kugelfisch23** · 01. 03. 2011, 13:52

Zitat von winniwinter

Das wäre perfekt!

Ein simples Beispiel für solch eine Konfiguration (eine zuvor leere OUTPUT-Chain mit ACCEPT-Policy angenommen) würde etwa durch

Code:

# iptables -A OUTPUT -d 178.73.212.224/28 -j ACCEPT
# iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
# iptables -A OUTPUT -o ethX -j DROP

erreicht. Die erste Regel lässt an IPs aus dem Subnetz 178.73.212.224/28 gerichtete Pakete - in dem sich aktuelle die Endpunkte von VPNTunnel.se befinden - zu. Die zweite Regel erlaubt DNS-Traffic (UDP, Zielport 53) über beliebige Netzwerkschnittstellen, damit der Hostname melissa.vpntunnel.se auch bei noch nicht stehendem Tunnel auflösbar ist, die dritte Antwortpakete deines SSH-Servers (TCP, Quellport 22). Die letzte Regel verwirft alle weiteren Pakete, die über ethX (an dieser Stelle solltest du den Namen deines physischen Netzwerkinterfaces einsetzen) ausgehen sollen.

Der Regelsatz ist selbstverständlich bloss ein Beispiel, er kann und sollte abhängig von deinen genauen Anforderungen angepasst werden.

Zitat von winniwinter

Außerdem möchte ich den Zugriff von außen auf die Weboberflächen von sabnzbd sperren (spezieller Port). Es soll nur möglich sein intern bzw. per SSH auf die Seiten zuzugreifen (Portforwarding)

Das könntest du zwar auch durch Netfilter/iptables erzwingen, sinnvoller wäre aber in aller Regel, die Server-Bind-Adresse des SABnzb-Webservers auf localhost/127.0.0.1 zu setzen, damit sich dieser nur an das Loopback-Interface bindet - siehe dazu etwa http://wiki.sabnzbd.org/command-line-parameters.

**winniwinter** · 05. 03. 2011, 13:34

danke für die info. werde es gleich mal ausprobieren

**Liberta** · 04. 01. 2012, 12:33

hallo

ich habe einen ubuntu server (remote desktop) auf den openvpn (perfect privacy) installiert ist.
nun möchte, dass bei einem verbindungsabbbruch, keine daten über die real-ip übertragen werden.
das heißt das beispielsweise bei utorrent die root-ip nicht leakt.

wie bin kann ich das bewerkstelligen?
unter windows benutz ich die comodo firewall

MfG
Liberta'

**Kugelfisch23** · 04. 01. 2012, 15:32

Dazu musst du bloss die in http://board.gulli.com/thread/16399...4#post13763624 genannte Lösung leicht anpassen. Die zugelassene VPNTunnel-IP-Range 178.73.212.224/28 ersetzt du durch die IP-Adresse des von dir genutzten Perfect-Privacy-Endpunkts, zusätzlich zu SSH musst du ggf. noch die Pakete für dein Remote-Desktop-Protokoll (VNC, NX, ...) zulassen, sofern du sie nicht über SSH tunnelst.

**Liberta** · 04. 01. 2012, 18:58

durch die interne oder externe ip-range von perfect privacy?

**Kugelfisch23** · 04. 01. 2012, 19:05

Durch die externe IP-Adresse des Ziel-Endpunkt. Handelt es sich um einen Round-Robin-Verteiler (z.B. de.gigabit.perfect-privacy.com), musst du entweder gezielt eine IP-Adresse wählen und diese auch anstelle des Hostnamens in deine OpenVPN-Konfiguration eintragen, oder du erstellst eine Regel für jede IP-Adresse. Für de.gigabit.perfect-privacy.com werden z.B. aktuell die IP-Adressen

Code:

$ host de.gigabit.perfect-privacy.com
de.gigabit.perfect-privacy.com has address 46.165.196.73
de.gigabit.perfect-privacy.com has address 84.19.178.6
de.gigabit.perfect-privacy.com has address 84.19.178.7

geliefert, was zu den Regeln

Code:

# iptables -A OUTPUT -d 46.165.196.73 -j ACCEPT
# iptables -A OUTPUT -d 84.19.178.6 -j ACCEPT
# iptables -A OUTPUT -d 84.19.178.7 -j ACCEPT

zum Erlauben von ausgehenden Paketen mit diesen Ziel-IP-Adressen führt.

**download123** · 06. 01. 2012, 05:34

Noch ne alternative Idee, du könntest besagte Software unter einem bestimmten Systemuser laufen lassen,
und dann folgendem How To folgen:
traffic-eines-systemusers-uber-anderes-interface-leiten

**Liberta** · 09. 01. 2012, 11:38

bevor ich das machen kann, noch ne frage.

ich hab openvpn unter unbuntu 10.04 installiert/ konfiguriert.

wenn ich mich nun mit openvpn auf nen server (perfect privacy) verbinden möchte, stürzt der ganze root ab. und ich muss nen rebooten

an was kann das liegen?

MfG

**Kugelfisch23** · 09. 01. 2012, 19:21

Zitat von Liberta

wenn ich mich nun mit openvpn auf nen server (perfect privacy) verbinden möchte, stürzt der ganze root ab. und ich muss nen rebooten

Bist du dir sicher, dass dein Server abstürzt und nicht bloss über das Netzwerk unerreichbar wird? Wenn ja, wäre der Inhalt des Syslogs und des Kernel-Logs von Interesse, um die Ursache für den Absturz zu ermitteln.

Bedenke, dass das Aufbauen der OpenVPN-Verbindung in der Standardkonfiguration durch die geänderte Routing-Tabelle (redirect-gateway-Direktive) dazu führt, dass dein Server fortan alle ausgehenden Pakete über das VPN bzw. dessen Gateway umleitet. Insbesondere betrifft dies auch Antworten auf Pakete, welche der Server über die physische Netzwerkschnittstelle erhalten hat.
Eine Abhilfe wäre eine Routing-Konfiguration, welche nicht alle ausgehenden Pakete automatisch über das VPN-Gateway umleitet oder Port-/Dienstspezifisches Routing (vgl. etwa http://www.linuxhorizon.ro/iproute2.html), um mindestens Pakete für die Fernwartung nicht über das VPN-Gateway zu routen. Alternativ könntest du auch eine spezifische Routing-Regel für die IP-Adresse anlegen, mit der du die Verbindung zur Fernwartung aufbaust, sofern diese statisch ist.