1

Я хочу убедиться, что при разрыве VPN-подключения на моем компьютере никакое приложение или служба в моей системе не должны иметь доступа к Интернету. По сути, я пытаюсь сделать так, чтобы любые приложения в моей системе могли иметь доступ к Интернету только через VPN и просто получали тайм-аут, если соединение VPN по какой-либо причине обрывается.

Я специально хочу достичь этого только за счет использования правил брандмауэра на брандмауэре Windows без использования сторонних приложений.

Я где-то давно читал, что для этого есть метод, называемый «черным продвижением» , но я не смог найти в интернете никакой подробной информации, которая объясняет, как этого добиться, устанавливая правила в брандмауэре Windows.

РЕДАКТИРОВАТЬ:

Я пытался настроить свою систему в соответствии с предложениями @Appleoddity и Binarus, но пока безуспешно.

Я отредактировал свой вопрос, чтобы сделать его более понятным.

Пока не нужно устанавливать сторонние kill-switch/VPN Client/Software, я в порядке.

Я хочу знать о том , как обеспечить , чтобы конкретное приложение (битовая торрент - клиент, например) можно предотвратить доступ к Интернету на всех , если соединение VPN падает по какой - либо причине.

Здесь я хочу упомянуть, что VPN-клиент, который я использую, является родным VPN-клиентом Windows 7 и что IP-адрес VPN-сервера, к которому я буду подключаться (через L2TP, SSTP или даже PPTP), всегда будет неизменным. Я нахожусь на проводном соединении LAN, которое связано с маршрутизатором (не нужно дозваниваться).

Когда я подключен к VPN, сервер всегда будет 65.23.78.56 (например). Другими словами, IP не будет меняться каждый раз, когда я подключаюсь к VPN, но остается статичным. Я полагаю, что это значительно упростит нам настройку.

Я не хочу использовать VPN-клиент, предлагаемый моим VPN-провайдером, и еще раз, это должно сделать то, что я спрашиваю, более конкретным.

Я прошу очень конкретный ответ, описывающий, что именно нужно сделать, чтобы обеспечить мгновенный доступ к системе через Интернет, в момент, когда VPN падает, не подвергая мой реальный IP внешним воздействиям.

Я в порядке, если время соединения истекло, пока мой IP не просочился.

Другими словами, я ищу конфигурации для интернет-коммутатора, который бы на 100% гарантировал, что мои приложения не будут выходить в интернет, используя мой реальный IP, в случае разрыва моего VPN-соединения.

Спасибо за ответы до сих пор.

|источник

2 ответа2

1

Я не уверен, что @Appleoddity абсолютно прав в том, что это невозможно сделать с помощью брандмауэра Windows. Обратите внимание, что приведенное ниже описание относится к Windows 7 Pro и что я не знаю Windows 10, но общая идея должна работать на каждой версии Windows.

Если дважды щелкнуть правило брандмауэра в консоли управления для "Брандмауэр Windows в режиме повышенной безопасности", откроется диалоговое окно, в котором можно просмотреть (и установить) свойства правила. В этом диалоговом окне выберите вкладку "Дополнительно", а затем нажмите кнопку "Настроить" в разделе "Типы интерфейса". Теперь вы можете выбрать типы интерфейсов, к которым должно применяться правило.

Есть три типа интерфейса. Следующее из справочного файла:

Локальная сеть Правило применяется только к сообщениям, передаваемым через подключения проводной локальной сети (LAN), настроенные на компьютере.

Удаленный доступ Правило применяется только к сообщениям, отправляемым через удаленный доступ, таким как подключение виртуальной частной сети (VPN) или подключение удаленного доступа, настроенное на компьютере.

Беспроводная связь Правило применяется только к сообщениям, отправленным через адаптеры беспроводной сети, настроенные на компьютере.

Поэтому, если вы хотите достичь своей цели, используя только правила брандмауэра, вы, вероятно, могли бы (в этом порядке, каждый шаг только для правил, которые относятся к интернет- трафику (т.е. не к внутренней локальной сети)):

  • Удалить исходящие правила
  • Создайте исходящее правило, которое блокирует весь трафик для типов интерфейса "Беспроводной" и "Локальная сеть".
  • Создайте исходящее правило, разрешающее весь трафик для типов интерфейса "Удаленный доступ".

Сделайте аналогичный процесс для входящего трафика.

Обратите внимание, что я еще не пробовал это (и не могу сделать в данный момент). Но если ваш VPN-клиент работает так, что Windows фактически распознает это соединение как VPN-соединение, описанный выше метод должен работать.

Сказав это, я согласен с @Appleoddity в том, что это не очень хороший метод, и что вы должны попытаться достичь своей цели другим способом.

|источник
0

Это невозможно только с помощью правил брандмауэра. По крайней мере, вам потребуется сценарий или задача для динамического добавления и удаления правила брандмауэра на основе подключения VPN.

Я бы так не поступил.

Я бы сделал это так:

  1. Создайте статический маршрут к IP удаленной конечной точки VPN, указав, что он должен маршрутизироваться через IP-адрес вашего шлюза.
  2. Удалите шлюз по умолчанию из настроек сетевого интерфейса tcp/ip.
  3. Включите опцию использовать удаленный VPN-шлюз для всего трафика. Это зависит от клиента VPN, но опция существует в Windows VPN. Это также называется отключением раздельного туннелирования.

В качестве альтернативы, если бы я использовал сложный сторонний VPN-клиент, я бы искал вариант для блокировки незащищенного трафика. Cisco AnyConnect может сделать это.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .