Я честно говоря в шоке, почему то эта ось считается надежной, особенно что касается сети, но неприятные сюрпризы от нее я получаю уже не первый раз , а эта подлянка вообще за гранью разумного. Есть Linux Mint , устанавливаю vpn соединение через gui менеджер , запускаю docker контейнеры , которые делают всякую работу в Сети, слежу полчаса , что все норм, ухожу. Прихожу - впн соединения нет, весь траф идет напрямую, это пздц какой то... Пробую использовать консольный openvpn клиент, слежу уже в течение пару часов, ухожу, прихожу - опять траф идет напрямую. Не помню , чтоб в винде такое безобразие творилось... ps: посмотрел логи , похоже что траф идет напрямую во время вот таких рестартов openvpn: Spoiler: лог Fri Mar 1 03:45:14 2019 Connection reset, restarting [-1] Fri Mar 1 03:45:14 2019 /sbin/ip route del 10.8.7.0/24 Fri Mar 1 03:45:14 2019 /sbin/ip route del 10.8.7.1/32 Fri Mar 1 03:45:14 2019 /sbin/ip route del xxx.xxx.xxx.xxx/32 Fri Mar 1 03:45:14 2019 /sbin/ip route del 0.0.0.0/1 Fri Mar 1 03:45:14 2019 /sbin/ip route del 128.0.0.0/1 Fri Mar 1 03:45:14 2019 Closing TUN/TAP interface Fri Mar 1 03:45:14 2019 /sbin/ip addr del dev tun0 local 10.8.7.114 peer 10.8.7.113 Fri Mar 1 03:45:14 2019 SIGUSR1[soft,connection-reset] received, process restarting Fri Mar 1 03:45:14 2019 Restart pause, 5 second(s) что делать?
Запретить локальной машине в iptables ходить куда-либо, иначе чем через vpn. Кроме VPN использовать для конкретных приложений дополнительные методы защиты - например, tor в режиме socks.
не владею этим, но придется разбираться... мои контейнеры используют socks, но все равно неприятно...
По iptables - что-то вроде # flush old rules iptables -F # block everything except my rules iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # allow loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # allow vpn iptables -A INPUT -j ACCEPT -p udp -s Y.Y.Y.Y --sport 1194 iptables -A OUTPUT -j ACCEPT -p udp -d Y.Y.Y.Y --dport 1194 (вообще, погуглите по iptables vpn only, рабочих примеров с комментариями масса) P.S.: Одно из самых толковых руководств по tables здесь - https://www.opennet.ru/docs/RUS/iptables/ По tor - запускаем tor --HashedControlPassword "VerySecretHash" --ControlPort 9551 --SocksPort 9550 --DataDirectory /opt/tor и пользуемся. P.S. Имеем ввиду, что параметр --HashedControlPassword - это НЕ пароль доступа к порту socks-proxy tor, а пароль к порту управления самим Tor, если будете использовать - генерируется так - tor --hash-password VerySecretPassword
так и запускаю сейчас Всем спасибо, все помогли, написал маленький скрипт запускающий iptables с нужными правилами, опираясь на материалы выше, но пришлось погеммороиться конечно, читать логи iptables, поотлавливать нужные ip
