Kill Switch OpenVPN sous Linux
Comment éviter les fuites IP sous Linux lorsque OpenVPN ne parvient pas à se connecter au serveur pendant que je surfe sur le net?
J'ai lu sur kill switch, mais après quelques recherches sur Internet, j'ai découvert que ce n'est pas implémenté dans OpenVPN.
Malheureusement, la réponse précédente (depuis supprimée) est incorrecte et permettra la désanonymisation car elle autorise toute connexion via le port 1194, pas seulement le trafic provenant d'OpenVPN. Vous devez utiliser un pare-feu plus simple qui ne fait rien de plus que bloquer toutes les sorties client non OpenVPN vers l'extérieur.
Si vous n'avez pas de groupe openvpn, créez-le. Le -r en fait un groupe système .
groupadd -r openvpn
Une fois qu'elle existe, ajoutez cette ligne à votre OpenVPN fichier de configuration pour exécuter avec ce groupe.
group openvpn
Vous pouvez maintenant configurer le pare-feu pour bloquer la sortie de tous les processus autres que le client OpenVPN. Vous n'avez pas besoin de mettre spécifiquement en liste blanche les ports, juste le bon groupe et le périphérique TUN.
# Flush the tables. This may cut the system's internet.
iptables -F
# Let the VPN client communicate with the outside world.
iptables -A OUTPUT -j ACCEPT -m owner --gid-owner openvpn
# The loopback device is harmless, and TUN is required for the VPN.
iptables -A OUTPUT -j ACCEPT -o lo
iptables -A OUTPUT -j ACCEPT -o tun+
# We should permit replies to traffic we've sent out.
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED
# The default policy, if no other rules match, is to refuse traffic.
iptables -P OUTPUT DROP
iptables -P INPUT DROP
Si tout fonctionnait, vous ne devriez désormais avoir accès à Internet que via votre VPN. Vous devrez peut-être faire quelques ajustements en fonction de votre configuration particulière (par exemple, si vous avez besoin d'accéder à d'autres appareils sur votre réseau local), mais cela devrait être une solution générale. Afin de rendre ces modifications persistantes, suivez les instructions de votre distribution sur l'enregistrement des paramètres du pare-feu.
Veuillez comprendre que les VPN ne sont pas conçus pour la confidentialité ou l'anonymat. Même lorsque vous utilisez un pare-feu approprié, il existe d'innombrables façons de contourner ses protections supposées, même si le VPN prétend ne pas conserver les journaux. Si vous avez besoin d'un réel anonymat, vous devriez plutôt utiliser quelque chose comme Tor .