所以我查看了现有的问题和答案,没有任何匹配的。
非常简单,我想要的只是通过 VPN 的入站连接,以及完全绕过 VPN 的出站连接。我使用openvpn,如何实现?
为什么。因为黑客保护是必要的,而且成本很小,而系统范围内的出站隐私的成本太高。原始速度:75 MBPS VPN:6 MBPS Apt或Git post VPN:0.5 MBS
因此,让所有入站流量通过 VPN,让所有出站流量在 VPN 之外传递。如果我使用OpenVPN和debian该怎么办?
答案1
VPN 的工作原理是在物理网络之上创建一个网络“层”,从而实现“虚拟”区别。您在专用端仍然有一个传入 IP 地址 - 事实上您必须这样做,因为物理连接是虚拟连接的基础。
VPN 提供一定程度的匿名性,因为当远程服务器看到传入 IP 时,它是 VPN 的 IP,而不是您自己的 IP。从您的 IP 到 VPN 服务的流量是可见的,但整个有效负载都是加密的,因此观察者只能说流量将流向 VPN 服务,而不是从另一端弹出的流量。
这与安全不同。 VPN 服务本身并不添加任何类型的数据包过滤或入口保护。它只是屏蔽您的 IP你的end 并从最终目的地的角度伪装成流量源。
现在我们来谈谈传入流量。确实有两种——回应本地发起的流量,例如您访问网页时的网络服务器响应,以及新的远程建立的连接,表面上连接到您的系统提供的服务。
假设现有连接可能会受到损害。通常,这将是中间人的情况,其中邪恶的参与者能够将任意数据注入请求、响应或两者中。在现实世界中,理论上可以通过 HTTPS、ssh 主机密钥验证等来确保您免受这种情况的影响。如果您不信任它们,最好根本不要使用互联网,因为 VPN 不会改变这一点,它只是移动了MiTM 窗口从“计算机外部”到“VPN 外部”。因此 VPN 本身并不能解决这个问题。
但还有更多。通过 VPN 建立的连接将与传出 VPN 地址关联,而不是与您的本地地址关联。从本质上讲,VPN 的全部意义在于您的流量的最终目的地看不到您的本地原始 IP,对吧?那么最终目的地到底如何知道绕过 VPN 直接向您发送响应呢?
即使有是这种向请求 IP 之外的 IP 请求响应的方式,可能不会得到普遍支持,因为任何支持它的服务都会受到反射攻击;它无法验证“原始”IP,因此您可以通过简单地发出廉价请求和大量昂贵的响应并告诉它们响应该 IP 来攻击任何 IP。受攻击的 IP 将丢弃所有流量,但仍可能通过非法流量淹没该 IP 来导致拒绝服务。
TCP 并不是这样工作的。您不能“简单地”从地址 A 建立连接并将响应发送到地址 B。
所以我说服自己 VPN:
- 本身并不能提供任何针对您担心的“黑客”的保护
- 没有任何方式支持,并且可能不会支持对非请求 IP 的 IP 的响应。
好吧,新的连接要容易得多。如果您管理自己的 VPN,您可能可以将其设置为将传入连接转发到您的本地计算机。但它不会增加任何您在防火墙和入口保护方面无法在本地添加的安全性。正如我们所描述的,VPN 无法为您提供这些。或者,您可以在没有 VPN 的情况下接受传入连接(在这种情况下,您必须有到 VPN 的部分路由,并且更常见的是发送全部通过 VPN 的流量,但 openVPN 的能力肯定是只通过 VPN 路由部分流量)。不管怎样,VPN 本身并不对流量进行任何类型的过滤。那些邪恶的团体,如果他们已经瞄准了该连接,只需攻击 VPN 的另一端即可。
保护系统上提供的服务的最简单方法是关闭它们。在专用主机上的其他地方运行它们,或者,如果您确实需要向互联网提供此服务,则必须以某种方式保护您的服务。如果您担心黑客,侦听任何端口是他们访问您的系统的最有可能的方式,而避免这种情况的最简单方法就是根本不允许新连接进入您的系统,只允许与源自该端口的连接相关的流量。系统 。
但同样,这完全与 VPN 无关。您可以在 VPN 服务器或您自己的服务器上执行这些操作。
我给你的建议?重点关注工作站上的良好安全实践,除非部分在线匿名如果你有一个严肃的目标,那就放弃 VPN 吧。它不会做你认为它会做的事。我希望读完这篇文章后就能清楚原因。
答案2
只需提供您在由创建的界面上提供的任何服务即可VPN服务器,您应该在这台机器上运行它。除此之外,您将在您的公共 IP 上拥有唯一可用的 VPN 服务。这不会影响您的传出连接。您还可以禁止来自 VPN 并尝试从其他地方出去的任何流量,因此通过该服务器建立隧道。