configuration pfctl para permitir solo la connection OpenVPN

Encontré lo que parece ser una guía adecuada aquí , pero pfctl se queja de un error de syntax y "no hay dirección IP encontrada para en3", que es mi interfaz principal. He tenido otras reglas de PF que funcionan correctamente para reenviar puertos, etc. pero no puedo resolver esto.

Estoy en 10.11.4 y al usar Tunnelblick conectado a un server OpenVPN me instalé en un VPS.

¿Podría alguien dar instrucciones sobre la configuration correcta para pfctl en El Capitan? Necesito mantener el acceso abierto a networkinges privadas como 10.0.0.0 y 168.1.0.0

¡Gracias!

One Solution collect form web for “configuration pfctl para permitir solo la connection OpenVPN”

Los siguientes trabajos en Sierra.

Agregue las siguientes líneas al final de /etc/pf.conf

anchor "org.vpnonly.pf" load anchor "org.vpnonly.pf" from "/etc/pf.anchors/org.vpnonly.pf.rules" 

Cree este file de configuration en /etc/pf.anchors/org.vpnonly.pf.rules

 # Options set block-policy drop set fingerprints "/etc/pf.os" set ruleset-optimization basic set skip on lo0 # Interfaces vpn_intf = "{ utun0 utun1 utun2 utun3 }" # Ports allowed_vpn_ports = "{ 1:65535 }" # Table with allowed IPs table <allowed_vpn_ips> persist file "/etc/pf.anchors/vpn.list" file "/etc/pf.anchors/custom.list" # Block all outgoing packets block out all # Antispoof protection #had to disable this to avoid error #antispoof for $vpn_intf inet # Allow outgoing packets to specified IPs only pass out proto icmp from any to <allowed_vpn_ips> pass out proto {tcp udp} from any to <allowed_vpn_ips> port $allowed_vpn_ports # Allow traffic for VPN interfaces pass out on $vpn_intf all 

Crea /etc/pf.anchors/vpn.list y /etc/pf.anchors/custom.list

sudo touch /etc/pf.anchors/vpn.list /etc/pf.anchors/custom.list

Agregue una list de direcciones IP permitidas (direcciones de serveres VPN) a /etc/pf.anchors/vpn.list

 41.xxx.xxx.xxx 42.xxx.xxx.xxx 

Agregue DNS de Google a custom /etc/pf.anchors/custom.list 8.8.8.8 8.8.4.4

sudo pfctl -e -f /etc/pf.conf y compruebe si hay errores

Para cargar al inicio, edite el /System/Library/LaunchDaemons/com.apple.pfctl.plist pfctl pnetworkingeterminado en /System/Library/LaunchDaemons/com.apple.pfctl.plist para configurar <key>Disabled</key> <true/>

asegurar que el modo sin root esté deshabilitado. ( csrutil disable terminal de recuperación con Comando + R en el timbre y ejecute csrutil disable ejecutar estos commands, luego regrese al terminal de recuperación luego para volver a habilitar el csrutil enable con csrutil enable

Crea tu LaunchDaemon en /Library/LaunchDaemons/com.apple.pfctl.plist

 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Label</key> <string>com.apple.pfctl</string> <key>ProgramArguments</key> <array> <string>pfctl</string> <string>-e</string> <string>-f</string> <string>/etc/pf.conf</string> </array> <key>RunAtLoad</key> <true/> </dict> </plist> 

termine con sudo chmod 644 /Library/LaunchDaemons/com.apple.pfctl.plist , reinicie con el modo sin root habilitado y listo.

  • No se puede conectar a ninguna VPN. ¿Cómo puedo restablecer todas las configuraciones relacionadas?
  • Los permissions de reparación arruinaron las preferences de networking
  • ¿OSX admite (importa) perfiles de OpenVPN?
  • El flujo de trabajo "Watch Me Do" tiene éxito en Automator, pero no como aplicación
  • ¿Hay un conmutador VPN más conveniente en iOS 9.1?
  • ¿Puede Mountain Lion conectar dos adaptadores de networking para el uso de Parallels VM?
  • Cisco AnyConnect: falla de certificate mientras ssh'd in
  • ¿Puede un atajo de keyboard establecerse para conectarse a VPN?
  • Enrutar permanentemente un host a VPN en OS X
  • Error de OpenVPN JSON después de actualizar a El Capitan
  • Cómo enviar solo requestes relacionadas con "trabajo" a través de vpn para El Capitán (10.11)
  • Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).