Wie kann man die Netzwerkaktivität auf das VPN auf einem Mac beschränken und ungesicherte Internetaktivitäten verhindern?

Ich verwende Mac OS und verbinde mich mit einem VPN, um meinen Standort und meine IP-Adresse zu verbergen tatsächliche IP, daher das VPN. Ich habe ein Prefpan namens pearportVPN, das mich automatisch mit meinem VPN verbindet, wenn ich online gehe. Das Problem ist, dass ich beim Herstellen einer Verbindung zum Internet über den Flughafen (oder auf andere Weise) einige Sekunden lang eine ungesicherte Internetverbindung habe, bevor sich mein Mac bei meinem VPN anmeldet. Daher ist es nur eine Frage der Zeit, bis ich versehentlich meine echte IP-Adresse in den wenigen Sekunden, die zwischen dem Herstellen einer Verbindung zum Internet und dem Anmelden an meinem VPN vergehen, freigebe.

Kann ich auf irgendeine Weise Datenverkehr von und zu meinem Mac blockieren, der nicht über mein VPN geleitet wird, sodass keine Verbindung hergestellt werden kann, wenn ich nicht bei meinem VPN angemeldet bin? Ich vermute, ich müsste eine Drittanbieter-App finden, die den gesamten Datenverkehr blockiert, außer über die Serveradresse, z. B. Intego Virus Barrier X6 oder einen kleinen Schnatz.

Jede Hilfe wäre sehr dankbar. Vielen Dank!

Sie würden eine Firewall verwenden, um (a) den gesamten ausgehenden Netzwerkverkehr mit Ausnahme des für Ihren VPN-Server bestimmten Verkehrs einzuschränken und dann (b) jeglichen Verkehr über Ihre VPN-Schnittstelle zuzulassen. Die Einschränkungen in (a) müssten Zulassungen für die Aushandlung einer DHCP-Lease enthalten, sofern Sie keine statische Adressierung verwenden.

Sie sollten dazu in der Lage sein, das Dienstprogramm "ipfw" von der Befehlszeile aus zu verwenden. Die Firewall, die im Einstellungsbereich "Sicherheit" verfügbar ist (neu in OS X 10.5, glaube ich), ermöglicht es Ihnen nicht, ausgehenden Datenverkehr zu blockieren.

Grundlegende Informationen ipfwzu finden Sie im FreeBSD-Handbuch .

Sobald Sie ein geeignetes Firewall-Skript erstellt haben, müssen Sie dafür sorgen, dass es beim Systemstart aktiv wird. Die Manpages auf launchd, launchctlund launchd.plistkönnen alle hilfreich sein.

Ich benutze Snow Leopard und benutze das folgende Shell-Skript. Es lässt nur Datenverkehr durch den PPTP-VPN-Tunnel zu. Beachten Sie, dass es keine Ausnahmen für lokalen DHCP-Verkehr gibt.

#!/bin/sh

# Clean any pre-existing rules
ipfw -f flush

# Allow any kind of traffic to go through ppp0 (our VPN interface)
ipfw -f add allow all from any to any via ppp0 

# Allow any to talk to GRE protocol (used with PPTP)
ipfw -f add allow gre from any to any 

# Allow any to talk to any remote server on PPTP port 1723
ipfw -f add allow tcp from any to any dst-port 1723

# Check states (below allows established tcp connections to vpn server via \
# port 1723 back through the firewall
ipfw -f add check-state
ipfw -f add allow tcp from any to any established

# Closing Up
ipfw -f add 65533 reject log udp from any to any 
ipfw -f add 65534 deny log ip from any to any 

Beachten Sie, dass auch IPFW-Regeln Sie nicht vor einer Reihe von häufigen Lecks schützen können, einschließlich DNS-Lecks, IPv6-Lecks und der Zeitverzögerung zwischen dem Hochfahren des Netzwerks und dem Ändern der Standardroute! Ich verwende waterroof auf meinem Mac, um mit Firewall-Konfigurationen zu arbeiten, und die folgenden Regelsätze sollten in Waterroof importiert werden:

IPFW IPv4-Regeln

füge 00010 deny icmp von any zu any in hinzu

füge 00100 hinzu erlaube ip von jedem zu jedem via lo *

Fügen Sie 00110 deny ip von 127.0.0.0/8 zu jedem in hinzu

Fügen Sie 00120 deny ip von any zu 127.0.0.0/8 in hinzu

add 00130 allow udp von any bis 224.0.0.251 dst-port 5353

Fügen Sie 00140 allow udp from 224.0.0.251 zu einem beliebigen dst-port 5353 hinzu

Fügen Sie 00300 deny ip from 224.0.0.0/3 zu einem beliebigen Eingang hinzu

Fügen Sie 00400 deny tcp von any zu 224.0.0.0/3 in hinzu

Fügen Sie 00500 deny tcp von any zu any dst-port 0 in hinzu

00600 Prüfstatus hinzufügen

füge 01000 hinzu erlaube tcp von mir zu jedem Keep-State

füge 01001 hinzu erlaube udp von mir zu jedem keep-state

füge 25000 erlaube IP von mir zu "VPN HOST HERE EINFÜGEN" hinzu

addiere 25100 erlaube ip von "INSERT VPN HOST HERE" zu mir in

Addieren Sie 33300 deny tcp von any zu any Established

Addiere 65000 Erlaube udp von jedem 67 zu jedem dst-port 68 in

füge 65100 deny log icmp von any zu mir in icmptypes 8 hinzu

add 65200 deny udp von any zu any in

add 65300 deny icmp von any zu any in

add 65400 deny ip von any zu any in

addiere 65535 erlaube ip von any zu any

IPFW IPv6-Regeln

add 02070 verweigere ipv6 von any zu any

Fügen Sie 33300 deny log ipv6-icmp von any zu any in icmptype 128 hinzu

Quelle: http://blog.c22.cc/2011/07/31/protecting-your-osx-with-ipfw-and-littlesnitch/

In Bezug auf DNS-Leakage können Sie Folgendes verwenden: http://opendns.github.io/dnscrypt-osx-client/

DNSCrypt ist eine Möglichkeit, die "letzte Meile" des DNS-Verkehrs abzusichern und eine ganze Reihe schwerwiegender Sicherheitsbedenken mit dem DNS-Protokoll zu lösen, z. B. Man-in-the-Middle-Angriffe oder das Aufspüren des DNS-Verkehrs auf der letzten Meile.