Łączę się z Internetem za pośrednictwem dostawcy VPN wraz z innymi środkami ostrożności w celu zapewnienia prywatności (przed analizą ruchu przez agencje represyjnego rządu). Obecnie używam Tunnelblick do konfigurowania i nawiązywania połączenia VPN. Tunnelblick nie zezwala na automatyczne łączenie się z dostawcą przy logowaniu lub przed logowaniem, dlatego muszę za każdym razem łączyć się ręcznie, a czasem połączenie zostaje utracone.
Potrzebuję cały ruch, aby cały czas przechodzić przez połączenie VPN; ilekroć VPN nie może być podłączony z jakiegokolwiek powodu, chcę, aby awaria nie była połączeniem. Muszę się upewnić
że OS X nie łączy się z Internetem na moim zwykłym połączeniu internetowym lub w ogóle podczas uruchamiania (do ekranu logowania, do synchronizacji czasu i innych możliwych rzeczy „zadzwoń do domu” itp.). Jakie usługi, jeśli w ogóle, starają się to zrobić i jak mogę praktycznie analizować i zmieniać to, co dzieje się z siecią podczas rozruchu? Czy istnieje sposób na połączenie z VPN wcześniej niż zaraz po zalogowaniu?
że jeśli moje połączenie VPN zostanie tymczasowo utracone, aplikacje nie będą nadal komunikować się przez moje zwykłe niezaszyfrowane połączenie.
Zasadniczo chcę, aby system działał tak, jakby połączenie sieciowe zostało całkowicie utracone, jeśli połączenie VPN ulegnie awarii, ale obecnie po prostu nadal działają, jakby nic się nie stało. Co mogę zrobić z moim systemem, aby po ustanowieniu VPN cały ruch mógł przepływać tylko przez to połączenie i żaden ruch nie mógł przepływać, jeśli połączenie zostanie zerwane?
Odpowiedzi:
Potrzebujesz zapory ogniowej między tobą a Internetem, która blokuje cały ruch oprócz ruchu na adres IP twojego hosta VPN
Router najprawdopodobniej będzie miał tę funkcję wbudowaną
źródło
Mac OS X zawiera polecenie oparte na wierszu
ipfwpoleceń, które pozwala ustawić zaawansowane lokalne reguły zapory.ipfw działa z regułami, które są zapisywane i sprawdzane w kolejności. Dlatego reguły dotyczące niskiej liczby są najpierw sprawdzane pod koniec listy. Istnieją dwie metody konfigurowania zapór ogniowych:
W twoim przypadku musisz zamknąć cały ruch, a następnie zezwolić tylko na ruch do adresu IP twojej sieci VPN, używając tylko portów używanych przez twoją sieć VPN. Zapobiegnie to wydostaniu się dowolnych bezpańskich pakietów, o ile Twoje reguły są ścisłe.
W sieci istnieje wiele świetnych przewodników i samouczków dotyczących ipfw, które są szeroko stosowane w wielu systemach operacyjnych Unix i Linux, oto niektóre z nich:
Sugeruję, abyś je zbadał i sprawdził, czy jesteś w stanie zrozumieć komendę w wystarczającym stopniu, aby spróbować. Co najmniej polecam upewnić się, że wiesz, jak wyłączyć zaporę ogniową i wyczyścić zasady na wypadek, gdybyś zawiązał maszynę w węzłach przez błędną konfigurację!
Powodzenia :)
źródło