Рейтинг:0

Использование политики по умолчанию BlockOutbound в Win10 для полного туннелирования всего трафика WAN через интерфейс TUN/TAP.

флаг th

Итак, у меня возник небольшой вопрос «расширенное использование брандмауэра» в Win10.

У меня есть VPN, работающий на VPS с опенвпн , работает как шарм, и я хотел отфильтровать все сети моего конечного хоста (в данном случае Win10) Под фильтрацией я подразумеваю применение строгой политики «BlockInbound,BlockOutbound», поэтому я могу просто добавить правила, разрешающие связь с моим VPS для установления VPN-туннеля (чтобы он создал новый интерфейс TUN), а затем позволить это последнее устройство с AllowOutbound.

Вот небольшая схема ситуации, хотя и не идеальная

             +-----------------+
             | БЛЕДНАЯ |
             | |
             +-----------------+
                 ^        
                 |        
                 |        
                 |        
                 |        
                 |        
                 В        
             +-----------------+
             |192.100.100.100 |
             | МОЙ VPS |
             +-----------------+
    10.8.0.1/24 ^ ^ VPN-порт: 443
                 | |
                 | |
                 | |
                 | |
          TUN ник| |
    Беспроводная карта 10.8.0.X/24 В В
             +-----------------+         
             | |
             | КОНЕЦ |
             +-----------------+

Проблема здесь с системой брандмауэра Windows, я привык уфв в linux и вполне мог изобразить набор правил, здесь мы немного более ограничены

1st) Установка политик по умолчанию

netsh advfirewall установить все профили BlockInbound, BlockOutBound

2nd) Разрешение беспроводной сетевой карте установить туннель с VPS - Либо настроить сервер opevpn для обслуживания клиентов на том же входе клиента - Или вы можете установить правило, разрешающее только IP VPS (нет необходимости в настройках сервера)

Брандмауэр netsh advfirewall добавить имя правила = "Принимать трафик из VPN на внешнем сетевом адаптере" dir=in action=allow remoteip=192.100.100.100 protocol=tcp 
Брандмауэр netsh advfirewall добавить имя правила = "Принимать трафик из VPN на внешнем сетевом адаптере" dir=out action=allow remoteip=192.100.100.100 protocol=tcp 

3rd) Предоставление интерфейсу TUN неограниченного подключения к глобальной сети. Здесь у нас есть ограничение в Windows, если вы отметите нетш чтобы создать правило, вы можете

 netsh>advfirewall брандмауэр добавить правило?
 +--------------------------------------------- -----------------------
 |Использование: добавить имя правила=<строка>
 | директор=вход|выход
 | действие=разрешить|блокировать|обойти
 | [программа=<путь к программе>]
 | [service=<короткое имя службы>|любой]
 | [описание=<строка>]
 | [включить=да|нет (по умолчанию=да)]
 | [профиль=публичный|частный|домен|любой[,...]]
 | [localip=any|<IPv4-адрес>|<IPv6-адрес>|<подсеть>|<диапазон>|<список>]
 | [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
 | <IPv4-адрес>|<IPv6-адрес>|<подсеть>|<диапазон>|<список>]
 | [localport=0-65535|<диапазон портов>[,...]|RPC|RPC-EPMap|IPHTPS|любой (по умолчанию=любой)]
 | [remoteport=0-65535|<диапазон портов>[,...]|любой (по умолчанию=любой)]
 | [протокол=0-255|icmpv4|icmpv6|icmpv4:тип,код|icmpv6:тип,код|
 | tcp|udp|любой (по умолчанию=любой)]
 | [interfacetype=беспроводной|LAN|ras|любой]
 | [rmtcomputergrp=<строка SDDL>]
 | [rmtusrgrp=<строка SDDL>]
 | [edge=yes|deferapp|deferuser|нет (по умолчанию=нет)]
 | [security=authenticate|authenc|authdynenc|authnoencap|не требуется
 | (по умолчанию = не требуется)]
 +--------------------------------------------- ------------------------------
 
ПРИМЕЧАНИЕ!! [interfacetype=беспроводной|LAN|ras|любой]

Здесь нет interfaceName не фильтровать ни тип интерфейса вполне выделяет категорию интерфейса TUN

При условии, что у нас есть

netsh> интерфейс показать интерфейс

Состояние администратора Тип состояния Имя интерфейса
--------------------------------------------- -----------------------
Включено Подключено Выделенный OpenVPN TAP-Windows6 -------------> ЦЕЛЬ
Включено Отключено Выделенное широкополосное соединение PdaNet
Включен Подключен Выделенный Wi-Fi
Включено Отключено Выделенный Ethernet

Эта информация на самом деле не говорит мне никакой информации о типе интерфейса, но после того, как я спросил в чате, мне сказали, что интерфейсы TAP рассматриваются как тип интерфейса = локальная сеть Итак, поскольку мое фактическое соединение будет Wireless , у меня есть набор правил, подходящий для моей ситуации.

netsh advfirewall firewall add rule name="Разрешить исходящий трафик через интерфейсы LAN (для TUN)" dir=out action=allow interfacetype=lan remoteip=any
Брандмауэр netsh advfirewall добавить имя правила = «Разрешить исходящий трафик локальной сети» dir = out remoteip = localsubnet

Итак, я продолжаю, и, к сожалению, план не работает. Во-первых, я не должен входить в форму заявки LAN, чтобы получить WAN (для этого я временно деактивирую брандмауэр). Как только я получаю аренду IP-адреса, я снова включаю брандмауэр, и, к счастью, у меня есть подключение к моему VPS, поэтому я продолжаю подключать OpenVPN, он подключается. Хороший!! Но веб-страницы не загружаются, запросы ping не проходят, и я не могу понять, где это может быть проблема.

Любые идеи?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.