Новая тема   Ответить

 Pentarh
Тут статейку накалякал

Вы думаете, вы полностью обезопасили себя, поставив VPN себе на сервер. Ну не совсем, не совсем...

http://www.pentarh.com/wp/2011/07/01/own-server-vpn/

 paranoik.death
чем это:
Код:
должно отличаться от этого:
Код:
в конечном состоянии, чтобы все было пиздато?

 Pentarh
Айпи, на который коннектиться ваш клиент VPN - не должен содержать на себе никаких сервисов: фтп, www и т.д. Он должен быть полностью выделенным под VPN.

 SAV
я так и не понял о чем предупреждают в статье
tracert показывает 1 запись, хоть на этом апе есть и фтп и ввв

 mr. snatch
ну если шифрование канала делаем на своём серве (что самое правильное), тогда уж лучше SSH-туннель + сокс, который слушает только на локальном и-фейсе и выход с другого ИПа

 Dr.Syshalt
Pentarh, можно проще (если IP свободного нету, а так хз, что проще, но зато надежнее по-любому). Коннектиться на свои сервисы не через их настоящий IP, а через IP интерфейса tunN.

Ну то есть я на свой SSH захожу через адрес 10.8.0.1 - через адрес внутренней сети. Типа в локалке. Так, к примеру, можно нахер закрыть SSH снаружи, от греха подальше - и вообще оставить только HTTP для пользователей через дырку в файрволле. Все админские WWW-сервисы тоже повесить на 10.8.0.1 only. При наличии VPN оставлять торчать во внешний мир какие либо административные порты вообще ни к чему.

А кто FTP использует в году 2011 - вообще сам себе враг хуже Буратино.

 LOVE
как проверить админа что он не снифает впн?

 andreich
mr. snatch писал:
пятый год про это толдычу, а нет все опять ебутся с VPN

 Dr.Syshalt
andreich: да многим проще 1 раз настроить VPN, чем в каждой программе socks прописывать. И не все поддерживают, кстати. И резолвинг DNS через socks - еще меньше поддерживают. VPN - это чистое решение, а socks - костыли как бы.

 andreich
ненадо настраивать сокс в каждой прогремме, достаточно поставить прогу (счаз непомню как называется) там указать какие проги пускать через туннель и все

да я не наставиваю удобновам юзать VPN юзаете

 mr. snatch
ну хз, костылём это назвать трудно ) на серваке (куда коннектимся по ssh) ставим свой сокс5 сервер который умеет remote dns (например полипо или данте и т.д.). Конфигурируем сокс-сервер слушать на локальном интерфейсе (который виден только после коннекта по ssh на сервак, например 127.0.0.1:5000), ну и дальше обычный туннелинг - локально ставим любой собственно тунеллер (например Entunnel тот-же putty, winscp и т.д. что угодно, что умеет делать туннели) который слушает на локальном компе (например 127.0.0.1:10000) и все локальные коннекты форвардит все локальные подключения с 127.0.0.1:10000 на 127.0.0.1:5000 на серваке по этому туннелю.
То есть, во всех прогах, которые нужно соксифицировать, в качестве прокси указываем 127.0.0.1:10000 (подключение впоймает тунеллеровщик и отфорвардит по ssh-подключению на ИП:Порт где слушает сокс5-сервер, то есть на 127.0.0.1:5000 на удалённом сервере).
Если руками прописывать прокси ломает, можно заюзать опять же любой мэппер, которые перехватит все исходящие и отфорвардит их на 127.0.0.1:10000 тем самым и спроксифицирует любую программу (например freecap, proxifier и т.д.)
Этот весь софт есть в потрейбл версиях, то есть ничего инсталить и постоянно настраивать не надо, а просто достаточно тоскать с собой на флешке в криптодиске )

Последний раз редактировалось: mr. snatch (02/07/11 в 00:16), всего редактировалось 2 раз(а)

 Afina
Цитата:
вспомни плиз

 Pentarh
Да народ вы чего, какие соксы? OpenVPN просто на выделенный под него айпи и фсе.

 andreich
Pentarh писал:
ну при OpenVPN я так понимаю весь траффик пойдет через тот IP, тоесть если сервак и IP в USA весь траф пойдет через него ?

 Pentarh
А если ты сокс поставишь, он чего, через другое место пойдет?

 andreich
Pentarh писал:
ну выше же все написанно, мне вообще нужно через сокс пускать броузер (FF) и FTP (FlashFXP) вот там я и настраиваю сокс, остально идет нормально через прова
если надо что то еще выше писали
Цитата:
это кстати Afina: тебе в помощь, думаю в гугле задать правильный запрос будет не сложно

 Pentarh
BDSM какой то

 andreich
бдсм ходит в yandex через USA IP

 mr. snatch
ну зачем сразу БДСМ то ?) у фетишей много подниш, и ssh-туннель - одна из самых лёгких )
мне удобнее юзать ssh-туннель, потому как:
- обычно, на серваке я юзаю несколько исходящих ИПов, и с какого я хочу выйти в данный момент, указывается одной галкой в proxifier
- в принципе, нет никакого изврата, всё настраивается (по сути конфиг сокса из 7-8 правил) один раз на сервере, и один раз на мобильной флешке
- используя связку Proxifier/Entunnel я могу гибко конфигурить политики исходящего трафика (не только дефолтовый раутинг, но и какие проги нужно соксифицировать, какие нет, какие ИПы идут через проксю, какие нет, их диапазон и прочее)
- сразу же удобнее делать цепочки проксей, сразу в одном только Proxifier, без лишнего софта
так же, опен впн как бы тоже нужно ставить и конфигурить, а по скорости настройки ssh-туннели подымаются примерно так же, если не быстрее

так же можно обойтись самим ssh, но так не извращался, так как мне проще проксю поставить)

 msth
Если на linux, то можно использовать разных юзеров под разные цели.. И с помощью iptables рулить правилами (т.е. допустим user1 пускается через интерфейса tun0 openvpn), user обычный через ppp0 и тд.. Таким образом, даже если впн отвалится user1 не пойдет никуда..

Это очень удобное решение само по себе так можно ЛЮБУЮ абсолютно прогу пустить от нужного юзера и получить нужный IP на выходе.

http://linuxpoison.blogspot.com/2010/11/how-to-limit-network-access-by-user.html

http://www.jespercheetah.dk/page/howtos/owner_based_routing

На винде можно в принципе юзать VMWare/VirtualPC отдельную и ее уже роутить через VPN, entunnel также вариант, один из самых простых, ну и putty тупо можно юзать

 Pentarh
Чета народ по ходу вообще не понял о чем я )

 bari


картинкой бы все это дело нарисовать, а для наглядности лучше анимированной
вот запрос на гугл
вот он шифруется на вашей машине
вот он пакетами пошел на впн
а вот лезем на фтп, который стоит на впн на том же айпи
и нифуя он не шифруется
и даже не особо важно почему

 Stup
Да кому надо тот и понял, я не думал кстати что админы так делают.
А вообще сверху к тому еще и стараться везде юзать https и sftp.

 div
впн надо на корпоративный рутер на площадке бросать. тогда всё заебок а еще и ентерпрайзненько

 CTAKAH
охуеть , у вас че на серваках по 1 ипу? Делаете впн на 1 ип, админки, фтп и че там еще надо на другой и все шифруется наотличненько [*]