Linux killswitch je nutností pro každého vážného uživatele Linux VPN. Chrání vaše data před únikem na internet tím, že zabraňuje komukoli v přístupu k vašim datům, i když je odpojen od VPN. Zajišťuje také, že všechny informace zůstanou důvěrné bez ohledu na to, co se mezitím stane.
Pro kyberzločince je přepínač zabíjení noční můrou. Je to významná překážka stojící mezi nimi a jejich cílem. Pokud připojení k vaší VPN přepadne byť jen na sekundu, protože váš počítač nebo telefon zamrzne, zemře nebo omylem přestřihnete kabel – pokud máte zapnutý přepínač zabíjení – k žádným z těchto dat nemá nikdo přístup.
Předpoklady
Chcete-li pokračovat, budete potřebovat:
- Konfigurační soubor pro připojení k vašemu poskytovateli VPN. Tento článek používá NordVPN jako poskytovatele VPN.
- Zařízení Ubuntu s klientem OpenVPN. Příklady budou používat Ubuntu 20.04 a OpenVPN 2.5.3.
Instalace nekomplikovaného firewallu (UFW)
V tomto tutoriálu závisí killswitch Linuxu na konfiguraci brány firewall. Nejprve začněte instalací Uncomplicated Firewall (UFW) do vašeho zařízení a nastavením firewallu tak, aby fungoval jako přepínač zabíjení.
Než se do toho pustíte, ujistěte se, že je vaše distribuce Linuxu aktuální, jinak váš UFW firewall nemusí fungovat podle očekávání. UFW například nemusí načíst nastavení při spuštění nebo se nenačte přidané/odebrané pravidlo.
1. Spusťte sudo apt install ufw -y k instalaci firewallu.
Firewall UFW je ve výchozím nastavení nainstalován na většině distribucí Ubuntu, takže možná již máte nainstalovaný UFW.
2. Spusťte službu UFW pomocí sudo systemctl start ufw .
3. Zkontrolujte, zda byla instalace UFW úspěšná. Spusťte sudo systemctl status ufw příkaz a pokud bude úspěšný, na výstupu se zobrazíaktivní (ukončeno) v zelené barvě, jak je vidět níže.
4. Spusťte UFW s sudo ufw enable . Stiskněte Y a poté Enter na dotaz, zda chcete Pokračovat v operaci (y|n)?
Povolení protokolů vzdáleného přístupu
Nyní, když je firewall nainstalován, musíte nakonfigurovat UFW tak, aby povoloval všechny protokoly, které chcete používat s VPN.
Začněte tím, že se ujistíte, že nejste zablokováni ke svému klientovi:možná se budete muset přihlásit přes SSH, pokud se něco pokazí s vaším připojením OpenVPN. Pokud se připojení přeruší a vy se nemůžete přihlásit přes SSH, budete muset k zařízení fyzicky přistupovat, abyste se mohli znovu připojit.
1. Povolte připojení SSH pomocí sudo ufw allow ssh příkaz. UFW firewall čte porty a protokol v /etc/services soubor a podle toho otevře porty. Níže můžete zkontrolovat výstup příkazu.
Důrazně doporučujeme přidat další vrstvu zabezpečení tím, že budete od uživatelů vyžadovat, aby se při připojování přes OpenVPN autentizovali pomocí klíče SSH. Tento postup bude chránit před útoky hrubou silou a neoprávněným připojením.
2. Dále budete muset přidat pravidla pro povolení protokolu VNC povolením provozu na odpovídajících portech.
Pokud jde o protokol VNC, je volitelný. VNC umožňuje vzdálený přístup, podobně jako SSH. VNC poskytuje grafickou konzoli, zatímco SSH umožňuje pouze textovou konzoli. Povolit provoz VNC s sudo ufw allow 5901:5910/tcp příkaz.
Tyto příkazy poskytnou výstup podobný tomu níže.
3. Po přidání pravidel se ujistěte, že jsou úspěšně aplikována. sudo ufw show added příkaz zobrazí seznam všech přidaných pravidel, jak můžete vidět níže.
Konfigurace přepínače VPN Kill Switch
V této části se dozvíte, jak nastavit skutečný přepínač zabíjení pomocí brány firewall UFW. Chcete-li začít, spusťte následující dva příkazy.
sudo ufw default deny outgoingsudo ufw default deny incoming
ufw default deny příkaz blokuje veškerý odchozí/příchozí provoz do/z vašeho počítače, kromě výslovně povoleného připojení SSH a vzdálených protokolů, které jste nastavili v předchozích částech. Výsledek příkazů můžete vidět na snímku obrazovky níže.
Dále přidejte výjimku do sady pravidel UFW, aby se váš počítač mohl připojit k serveru VPN:budete potřebovat konfigurační soubor serveru VPN. V tomto tutoriálu jsou soubory OpenVPN pojmenovány ata.ovpn a staženy z webu NordVPN.
Název konfiguračního souboru OpenVPN se může lišit. Tento výukový program používá konvenci pojmenování „ata“, ale klidně pojmenujte své, jak uznáte za vhodné!
Dále se podívejte do ata.opvn Konfigurační soubor OpenVPN s příkazem sudo head /etc/ata.ovpn . Výsledný výstup obsahuje informace, jako je port , protokol a IP adresa serveru VPN, ke kterému se připojujete, přičemž NordVPN je zobrazen jako příklad níže.
Chcete-li vytvořit správný příkaz UFW, poznamenejte si port , protokol a veřejná IP adresa info výstup z konfiguračního souboru.
Dále vytvořte ufw allow out příkaz takto:sudo ufw allow out to 69.28.83.134 port 1194 proto udp . Jak vidíte, použitá IP adresa a port jsou z konfiguračního řádku začínajícího remote a protokol z řádku začínajícího proto .
Tento příklad používá NordVPN jako poskytovatele VPN. Pro NordVPN musí být otevřený port 1194 UDP. Pokud například používáte Express VPN, musí být otevřený port 1195 UDP, nikoli port 1194. Každý poskytovatel VPN může mít jedinečné porty UDP.
Vytvoření výjimky brány firewall pro OpenVPN
Pro správnou použitelnost musíte samozřejmě povolit OpenVPN přes firewall. Do této chvíle jste blokovali veškerý příchozí a odchozí provoz s výjimkou několika portů.
Nejprve musíte najít název síťového rozhraní, které klient OpenVPN používá. Spusťte ifconfig k zobrazení seznamu všech nakonfigurovaných názvů síťových rozhraní, jak je uvedeno níže.
Všimněte si síťového rozhraní s názvem tun0 ve výsledném seznamu. tun0 rozhraní je rozhraní VPN, kterým prochází veškerý příchozí a odchozí provoz, a rozhraní, které umožňuje. Je to virtuální rozhraní přidané při spouštění, což jednoduše znamená, že se nejedná o fyzické připojení. Toto rozhraní je v OpenVPN výchozí.
Přidejte výjimku brány firewall pro rozhraní tunelu VPN, které jste našli pomocí ifconfig aby přes něj procházel veškerý provoz. Jinak nebude přístup k internetu a váš přepínač zabíjení selže. Spusťte příkaz níže a přidejte výjimku pro provoz OpenVPN na tun0 rozhraní.
sudo ufw allow out on tun0 from any to any
Některé aplikace, například přístup k aplikaci hlasového chatu při hraní her, vyžadují příchozí připojení přes VPN. Chcete-li povolit příchozí připojení, spusťte následující příkaz:
sudo ufw allow in on tun0 from any to any
Konfigurace klienta OpenVPN
V této poslední části nakonfigurujete klienta OpenVPN tak, aby běžel jako služba využívající konfiguraci, kterou jste dříve vytvořili.
Začněte přejmenováním svého prostého textu ata.opvn soubor **(název souboru se může lišit) na ata.conf . Chcete-li spustit klienta OpenVPN jako systémovou službu na pozadí, název souboru musí být pojmenován s příponou *.conf. Kromě toho také přesunete soubor do /etc/openvpn adresář.
Přesuňte konfigurační soubor s sudo mv /root/ata.ovpn /etc/openvpn/ata.conf .
Nyní změňte adresář na /etc/openvpn a ověřte, že tam soubor je.
cd /etc/openvpn
ls
Pomocí konfiguračního souboru v /etc/openvpn spusťte klientskou službu OpenVPN s systemctl příkaz. Chcete-li spustit službu, spusťte:sudo systemctl start [email protected] .
Část „ata“ názvu klienta OpenVPN pochází z názvu použitého konfiguračního souboru. Váš se může lišit podle názvu souboru.
Chcete-li ověřit, že služba OpenVPN běží, použijte systemctl status příkaz takto.
sudo systemctl status [email protected]Jak je uvedeno níže, aktivní (běžící) zobrazí se zelený stav služby OpenVPN.
Nakonec musíte své zařízení nakonfigurovat tak, aby se automaticky připojovalo k vaší službě VPN. Automatické připojení k VPN zajišťuje, že OpenVPN bude vždy spuštěn, i když restartujete počítač.
Spusťte sudo systemctl enable [email protected] a od této chvíle, jakmile se služba OpenVPN spustí, automaticky připojí vaše zařízení k VPN.
Závěr
Tento článek vám ukázal všechny kroky potřebné k nastavení linuxového killswitch pro vaše připojení VPN. Přepínač kill odpojí síťové připojení od vašeho počítače, pokud připojení neočekávaně poklesne, čímž zabrání úniku dat a udrží vás online v bezpečí.