configuration pfctl para permitir solo la connection OpenVPN

Encontré lo que parece ser una guía adecuada aquí , pero pfctl se queja de un error de syntax y "no hay dirección IP encontrada para en3", que es mi interfaz principal. He tenido otras reglas de PF que funcionan correctamente para reenviar puertos, etc. pero no puedo resolver esto.

Estoy en 10.11.4 y al usar Tunnelblick conectado a un server OpenVPN me instalé en un VPS.

¿Podría alguien dar instrucciones sobre la configuration correcta para pfctl en El Capitan? Necesito mantener el acceso abierto a networkinges privadas como 10.0.0.0 y 168.1.0.0

¡Gracias!

One Solution collect form web for “configuration pfctl para permitir solo la connection OpenVPN”

Los siguientes trabajos en Sierra.

Agregue las siguientes líneas al final de /etc/pf.conf

anchor "org.vpnonly.pf" load anchor "org.vpnonly.pf" from "/etc/pf.anchors/org.vpnonly.pf.rules" 

Cree este file de configuration en /etc/pf.anchors/org.vpnonly.pf.rules

 # Options set block-policy drop set fingerprints "/etc/pf.os" set ruleset-optimization basic set skip on lo0 # Interfaces vpn_intf = "{ utun0 utun1 utun2 utun3 }" # Ports allowed_vpn_ports = "{ 1:65535 }" # Table with allowed IPs table <allowed_vpn_ips> persist file "/etc/pf.anchors/vpn.list" file "/etc/pf.anchors/custom.list" # Block all outgoing packets block out all # Antispoof protection #had to disable this to avoid error #antispoof for $vpn_intf inet # Allow outgoing packets to specified IPs only pass out proto icmp from any to <allowed_vpn_ips> pass out proto {tcp udp} from any to <allowed_vpn_ips> port $allowed_vpn_ports # Allow traffic for VPN interfaces pass out on $vpn_intf all 

Crea /etc/pf.anchors/vpn.list y /etc/pf.anchors/custom.list

sudo touch /etc/pf.anchors/vpn.list /etc/pf.anchors/custom.list

Agregue una list de direcciones IP permitidas (direcciones de serveres VPN) a /etc/pf.anchors/vpn.list

 41.xxx.xxx.xxx 42.xxx.xxx.xxx 

Agregue DNS de Google a custom /etc/pf.anchors/custom.list 8.8.8.8 8.8.4.4

sudo pfctl -e -f /etc/pf.conf y compruebe si hay errores

Para cargar al inicio, edite el /System/Library/LaunchDaemons/com.apple.pfctl.plist pfctl pnetworkingeterminado en /System/Library/LaunchDaemons/com.apple.pfctl.plist para configurar <key>Disabled</key> <true/>

asegurar que el modo sin root esté deshabilitado. ( csrutil disable terminal de recuperación con Comando + R en el timbre y ejecute csrutil disable ejecutar estos commands, luego regrese al terminal de recuperación luego para volver a habilitar el csrutil enable con csrutil enable

Crea tu LaunchDaemon en /Library/LaunchDaemons/com.apple.pfctl.plist

 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Label</key> <string>com.apple.pfctl</string> <key>ProgramArguments</key> <array> <string>pfctl</string> <string>-e</string> <string>-f</string> <string>/etc/pf.conf</string> </array> <key>RunAtLoad</key> <true/> </dict> </plist> 

termine con sudo chmod 644 /Library/LaunchDaemons/com.apple.pfctl.plist , reinicie con el modo sin root habilitado y listo.

  • "Networksetup está tratando de modificar la configuration de networking del sistema" ¡el dialog no se irá!
  • Configuración de networking de Mac Mini Office
  • ¿Cómo automover una networking compartida una vez que OpenVPN se ha conectado? (Usando Tunnelblick)
  • Uso compartido de Internet en una networking universitaria: ¿arruinará las cosas?
  • La connection VPN en OSX falla después de una cierta cantidad de reconexiones
  • ¿Por qué mi cliente VPN (viscosidad) se desconecta cuando locking la pantalla?
  • IKEv2 VPN en macOs 10.12 Sierra
  • ¿El contenido de AirPlaying de la computadora portátil protegida VPN expone el contenido más allá de la networking local?
  • ¿Qué cambió en el event handling la tarjeta inteligente Yosemite?
  • Evitar anuncios de Bonjour en OpenVPN
  • Parámetro faltante de OpenVPN en OSX 10.11 El Capitan
  • Cisco AnyConnect falla en El Capitan - No se puede ubicar la biblioteca de exploración del host
  • ¿Cómo conectarse a una VPN con PPTP que utiliza CHAP y MS-CHAP?
  • Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).