Предотвращаем утечку трафика при падении vpn (comodo firewall)

Приветствую всех!

Думаю многим знакома ситуация когда падает ВПН и все приложения (jabber, ICQ, браузеры и пр.) начинают идти в интернет напрямую. Если падения впн незаметить и продолжить работать дальше, то провайдер видит весь наш трафик, соответственно видит чем мы занимаемся и на каком сайте сейчас сидим.

Сразу отмечу что данный мануал подойдёт для любого впн, любых конфигов и пр. Самое главное чтобы нам был известен мак адрес нашего виртуального адаптера который подключается к впн серверу. Узнать его не проблема, всё описано в данном мануале.

Предотвратить можно несколькими способами:
1) Самый простой, его много кто знает. Это OpenVPN Protector. (Скачать / VT) Detection ratio: 1 / 56
Подходит только для OpenVPN gui. При отключении VPN он полностью отключает интернет, предварительно спросив пользователя об этом.
Первый способ затрагивать вообще не буду, там всё просто. Мы же не лохи какие-то, мы сами всё настроим.
2) Настроить фаервол. У меня стоит Comodo Internet security Premium 8,2. Он бесплатный, скачать можно с официального сайта.

Окей погнали!

1) Этап установки. Снимаем галочки, сами понимаете зачем.


2) Жмём настроить установку, тут выбираем на свой вкус, если у вас стоит антивирус, то ав комодо не ставим.

3)После установки, Comodo сразу начнёт обновлять антивирусные базы, затем сканировать вашу систему, и попросит перезагрузиться. А так же задаст такой вопрос. От данной сети нам нужет только интернет. Поэтому выбираем её как общественное место.

4) Окей, перезагрузились. Заходим в настройки.


5) Я меняю конфигурацию, мне нужна защита в активном времени, так как других антивирусов у меня нет, Так же для нас подойдёт Firewall security. Комодо попросит перезагрузки!

6) Итак самое главное.

Настройки фаервола - Сетевые зоны (добавляем сетевую зону / затем добавляем мак адрес) мак адрес нашего впн адаптера



7)И прописываем МАК адрес.
(Окошко с выпадающем меню, в самом низу выбираем пункт мак адрес)

А где же узнать мак адрес нашего виртуальго адаптера? Можно в двух местах

И введя в командной строке команду ipconfig /all

Ищем TAP-Windows Adapter V9, Через который работает наш ВПН
и прописываем его в комодо, в нашу созданную сетевую зону.


8)Окей, едем дальше. Создадим набор простых правил

1. Разрешить входящий IP трафик из любой сети в сетевую зону VPN
2. Разрешить исходящий IP трафик из сетевой зоны VPN в любую сеть
3. Запретить любой входящий и исходящий IP трафик

Почти готово!!!

9)Переходим во вкладку правила для приложений.


10)И добавляем приложения которым хотим ограничить доступ в интернет напрямую. Применив к ним набор наших созданных правил.


Так же хочу отметить, что можно добавить группы приложений, например все веб браузеры.

PS. Заметил одну особенность. Имеем 2 браузера портабл ирон портабл и мозилла портабл. Добавляем правила для них с полным указанием пути к файлу. НО почему то именно эти браузеры от Portableapps.com работают и выходят в интернет, как с впн так и без впн. Как будто комодо для них вообще не существует.
Решение: Создать правило для всех веб браузеров как на скриншоте выше.
Для других приложений от Portableapps.com не тестил

PPS. Комодо хороший фаервол с множеством настроек, подходит как для профи так и для новичков. То что описано в этой статье это цветочки, он способен на многое. Всех настроек я описывать не стал, но его HIPS защита реагирует на многие объекты которые даже не представляют никакой опасности. её можно отключить, если уверены что у вас чистый пк. Или по умолчанию разрешать все запросы, чтоб вас не мучали всплывающие оповещания.
А вообще все скачанные файлы и всё работу нужно производить в виртуалке!

PPPS. Так же я активировал следующие настройки.

Стандартные глобальные правила