Я выполняю vpn на своем ноутбуке. Чтобы гарантировать, что трафик к и из Интернета только позволяется через это vpn, я выполняю ufw со следующими правилами:
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
Anywhere on tun0 ALLOW IN Anywhere
1194/udp ALLOW IN Anywhere
192.168.1.0/24 ALLOW IN 192.168.1.0/24
Anywhere (v6) on tun0 ALLOW IN Anywhere (v6)
1194/udp (v6) ALLOW IN Anywhere (v6)
Anywhere ALLOW OUT Anywhere on tun0
1194/udp ALLOW OUT Anywhere
192.168.1.0/24 ALLOW OUT 192.168.1.0/24
Anywhere (v6) ALLOW OUT Anywhere (v6) on tun0
1194/udp (v6) ALLOW OUT Anywhere (v6)
Теперь это хорошо работает за одним исключением - я не могу соединиться с octopi.local от своего ноутбука, не отключая брандмауэр. Я могу соединиться очень хорошо через прямой IP-адрес, но так как это не статический адрес, это не надежное решение. Как я могу удостовериться, что имя octopi.local разрешено через брандмауэр?
ОТРЕДАКТИРУЙТЕ я нашел эту страницу - ufw разрешение сетевых имен - и я попробовал команду хвоста, но я действительно не знал то, на что я смотрел. Я действительно видел "SPT=5353 DPT=5353", таким образом, я попробовал, "позволяют в 5 353" командах, но это, казалось, не помогло. Затем я посмотрел на свой/etc/services файл и нашел это:
hostmon 5355/tcp # hostmon uses TCP (nocol)
hostmon 5355/udp # hostmon uses UDP (nocol)
таким образом, я попробовал, "позволяют в 5 355". Это все еще не позволило ssh разрешать имя хоста. Я думал, что сообщил то, что я попробовал...
Мысль я обновил бы это в случае, если кому-либо еще нужна она. Это - мой финал, рабочий набор правила для ufw, которые позволяют VPN PIA соединяться автоматически, не отключая брандмауэр; позволяет связь между локальными подключенными к сети компьютерами; и все же отклоняет весь трафик вне локальной сети, которая не проходит туннель VPN:
To Action From
-- ------ ----
Anywhere on tun0 ALLOW Anywhere
1194/udp ALLOW Anywhere
192.168.1.0/24 ALLOW 192.168.1.0/24
5353 ALLOW Anywhere
Anywhere (v6) on tun0 ALLOW Anywhere (v6)
1194/udp (v6) ALLOW Anywhere (v6)
5353 (v6) ALLOW Anywhere (v6)
Anywhere ALLOW OUT Anywhere on tun0
1194/udp ALLOW OUT Anywhere
192.168.1.0/24 ALLOW OUT 192.168.1.0/24
5353 ALLOW OUT Anywhere
Anywhere (v6) ALLOW OUT Anywhere (v6) on tun0
1194/udp (v6) ALLOW OUT Anywhere (v6)
5353 (v6) ALLOW OUT Anywhere (v6)