出于安全原因,除非 VPN 已启动,否则我不应该访问其他公共 IP 范围。但是,如果我的 VPN 已关闭,我的系统仍然会路由到该 IP,这违反了我的义务。如果我的系统无法通过 VPN 路由,我能否以某种方式限制我的系统放弃连接到该 IP 范围的尝试?
我正在使用 Mac OS Mavericks。
我可以通过 IceFloor 前端尝试一些 PF 防火墙的设置。但我需要一些帮助,了解解决此问题的最佳方法是什么、什么规则等。(例如,我希望我不需要虚拟适配器,因为它们不太灵活或稳定。)
我还可以使用 etc/ppp/ip-up 和 etc/ppp/ip-down 设置 VPN 启动时的路由规则,但我需要在 VPN 关闭时将其关闭的确切原因是,当 VPN 不活动时,没有路由可路由。那么该怎么办呢?
谢谢!
答案1
设置 PF 规则应该很简单,即始终拒绝物理接口上进入该 IP 范围的任何内容。VPN 的虚拟接口(如果存在)不会匹配,物理接口看不到真实目标(因为它会被 VPN 软件封装,并且是“物理”数据包有效负载的一部分)。
PF 规则看起来像这样block out quick on en0 to 192.168.210.0/24(当然,指定正确的网络;我从未见过 IceFloor,所以无法建议如何使用它)。