iptables, openvpn, killswitch

[Szalony Kapelusznik]

0

Mam mały problem, dla tego mam pytanko...

Chcę zrobić killswitcha, ale z ustawionym iptables tak, że przepuszcza TYLKO na danym adresie ip i porcie (reszta drop) ORAZ (bardzo ważne dla mnie) tylko dla odpalonych programów przez grupę openvpngroup. Podany niżej kod dla mnie działa jeśli nie dodam '--gid-owner'. 

Jest jakaś możliwość aby uruchomić openvpn jako grupa, tak, żeby to działało? W przykładzie 100.100.100.100 to adres ip serwera.

Kod:

sudo iptables --flush
    sudo iptables --delete-chain
    sudo iptables -t nat --flush
    sudo iptables -t nat --delete-chain
    sudo iptables -P INPUT DROP
    sudo iptables -P FORWARD DROP
    sudo iptables -P OUTPUT DROP
    sudo iptables -A OUTPUT -j ACCEPT -o lo
    sudo iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT -o enp4s0
   
    sudo iptables -A OUTPUT -d 100.100.100.100 -o enp4s0 -p tcp -m owner --gid-owner openvpngroup --dport 443 -j ACCEPT
    sudo iptables -A INPUT -s 100.100.100.100 -i enp4s0 -p tcp -m owner --gid-owner openvpngroup --dport 443 -j ACCEPT
    sudo iptables -A INPUT  -i tun0 -j ACCEPT
    sudo iptables -A OUTPUT -o tun0 -j ACCEPT

Jeżeli włącze ten skrypt bez "-m owner --gid-owner openvpngroup" wszystko działa tak jak chcę, ale jeśli ubiję proces openvpn nadal będę mógł (telnet) wykonać połączenie na danym ip i porcie. A chciałbym, że jeśli ubiję proces włączony jako grupa openvpngroup to nie będę mógł wykonać żadnego połączenia.

Run openvpn:

   

Kod:

sudo openvpn --group openvpngroup --daemon --config "$VPNFOLDER/$ovpn" --auth-user-pass "$PASSWORDFILE"