По соображениям безопасности я не должен получать доступ к общедоступному диапазону IP-адресов, если не работает VPN. Однако, если мой VPN не работает, моя система все равно направляется на IP, что является нарушением моих обязательств. Могу ли я каким-то образом ограничить свою собственную систему, чтобы исключить попытки подключения к этому диапазону IP, если она не может маршрутизировать через VPN?

Я использую Mac OS Mavericks.

Я могу поиграть с некоторыми настройками брандмауэра PF через интерфейс IceFloor. Но мне нужна помощь, как лучше всего к этому подойти, какое правило и т.д. (Например, я надеюсь, что мне не нужен виртуальный адаптер для этого, они не были очень гибкими или стабильными.)

Я также мог бы установить правила, используя etc/ppp/ip-up и etc/ppp/ip-down для маршрутизации, когда VPN работает, но именно поэтому мне нужно было выключить его, когда VPN не работает. нечего направлять, когда не было живого VPN. Так что же тут делать?

Спасибо!

|источник

1 ответ1

1

Это должно быть просто установить правила PF, которые всегда отклоняют все, что идет в этот диапазон IP на физическом интерфейсе. Виртуальный интерфейс VPN, если он присутствует, не будет совпадать, а физический интерфейс не увидит реальную цель (потому что он будет инкапсулирован программным обеспечением VPN и частью полезной нагрузки "физического" пакета).

Правило PF выглядело бы как block out quick on en0 to 192.168.210.0/24 (конечно, указав правильную сеть; я никогда не видел IceFloor, поэтому не могу предложить, как это использовать).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .