Kan man blocka vpn trafik med tex iptables?

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

Kan man blocka vpn trafik med tex iptables?

Skulle behöva veta om det finns nåt sätt att detektera inkommande trafik från vpn.
Använder linux nu men kan byta till Windows om det skulle behövas.

Trädvy Permalänk
Medlem
Plats
Zion
Registrerad
Apr 2004

Beror ju lite på, är det på en webbsida så finns det ju tjänster och listor med ip-ranges, annars måste du köra in activex grejer eller liknande för att "slita" info ur folks datorer och så vilket är mindre snyggt och sidan riskerar själv bli flaggad av olika tjänster.
Att allmänt blocka VPNer rakt av är även ganska dålig praxis, är det attacker på en server du vill skydda ifrån så är det mer effektivt att blocka vissa leverantörers ip-ranges eller så vilket är relativt lätt eller som sagt kolla listor eller tjänster på nätet som redan tillhandahåller liknande.

[ i5-6600K @ 4.7Ghz || Corsair H110 GTX || 16GB DDR4 || ASUS Z170 Pro Gaming || Asus ROG 1080 Strix @ 2100+/11Ghz+ ]
Unigine Superposition 1080p; 17487 @ Medium; 4594 @ Extreme
"One is always considered mad, when one discovers something that others cannot grasp."
- Ed Wood

Trädvy Permalänk
Medlem
Plats
Isla de Muerta
Registrerad
Okt 2009

@tjabo:

Du kan ju blockera port TCP 443 till och från din maskin så funkar inga OPENVPN (vanligaste).
Ska du använda IPtables så måste du veta ip-range på Samtliga VPN du planerar att blockera

CPU: 1600x @ 4Ghz
RAM: 16GB
GPU: 1070 TI

Extremt prispressat monster som uppnår mina krav. Allt är köpt på rea

Trädvy Permalänk
Medlem
Registrerad
Aug 2002
Skrivet av Ferrat:

Beror ju lite på, är det på en webbsida så finns det ju tjänster och listor med ip-ranges, annars måste du köra in activex grejer eller liknande för att "slita" info ur folks datorer och så vilket är mindre snyggt och sidan riskerar själv bli flaggad av olika tjänster.
Att allmänt blocka VPNer rakt av är även ganska dålig praxis, är det attacker på en server du vill skydda ifrån så är det mer effektivt att blocka vissa leverantörers ip-ranges eller så vilket är relativt lätt eller som sagt kolla listor eller tjänster på nätet som redan tillhandahåller liknande.

UDP paket till spelserver, någon som roar sej med att krascha med en bugg dom hittat. Verkar finnas oändlig tillgång på vpn´s.

Trädvy Permalänk
Medlem
Registrerad
Aug 2002
Skrivet av hakd:

@tjabo:

Du kan ju blockera port TCP 443 till och från din maskin så funkar inga OPENVPN (vanligaste).
Ska du använda IPtables så måste du veta ip-range på Samtliga VPN du planerar att blockera

Sorry jag var sen på att svara, det är en spelserver modell äldre, några få slots för nostalgiska skäl. Dock är jag inte ensam om att bli kraschad så det hade varit trevligt om det fanns en smidig lösning.

Trädvy Permalänk
Medlem
Plats
Zion
Registrerad
Apr 2004
Skrivet av tjabo:

UDP paket till spelserver, någon som roar sej med att krascha med en bugg dom hittat. Verkar finnas oändlig tillgång på vpn´s.

Mjo VPNer är det gott om, det bästa i det lägget vore kanske att sniffa efter paket som matchar det och droppa dem?

[ i5-6600K @ 4.7Ghz || Corsair H110 GTX || 16GB DDR4 || ASUS Z170 Pro Gaming || Asus ROG 1080 Strix @ 2100+/11Ghz+ ]
Unigine Superposition 1080p; 17487 @ Medium; 4594 @ Extreme
"One is always considered mad, when one discovers something that others cannot grasp."
- Ed Wood

Trädvy Permalänk
Medlem
Registrerad
Okt 2011

Eventuellt kan du köra IP white list? Bara acceptera ett antal IP adresser om det bara är du å dina vänner som kör.

Eller om det tex är en svensk server så blocka alla IP adresser från alla andra länder, kanske hjälper något. (finns dock många svenska VPN också).

Btw behöver ju inte vara via en VPN de ansluter, kan ju vara att de har ett botnet som de skickar UDP paketen med.

Programmerare -> PHP | HTML | CSS | JS | Java.

Trädvy Permalänk
Medlem
Registrerad
Aug 2002
Skrivet av Ferrat:

Mjo VPNer är det gott om, det bästa i det lägget vore kanske att sniffa efter paket som matchar det och droppa dem?

Ja jag håller med, men dom som är duktiga på detta inom communityn verkar inte lyckas med just denna buggen av någon anledning.

Ett annat problem med dom här "krascharna" är att dom är duktiga på att fuska och allmänt ställa till med provokationer (teamkills tex) så det hade vart skönt och slippa dom helt.

Trädvy Permalänk
Medlem
Registrerad
Aug 2002
Skrivet av Sony?:

Eventuellt kan du köra IP white list? Bara acceptera ett antal IP adresser om det bara är du å dina vänner som kör.

Eller om det tex är en svensk server så blocka alla IP adresser från alla andra länder, kanske hjälper något. (finns dock många svenska VPN också).

Btw behöver ju inte vara via en VPN de ansluter, kan ju vara att de har ett botnet som de skickar UDP paketen med.

Jag tror dom måste ansluta först innan dom kan utnyttja buggen, har sett det hända "live" så att säga och det rör sej om kanske 10 sekunder från att man ser ny spelare tills att servern krashar.

Provat lite med white/blacklist system men det finns inte så många spelare kvar så ju mer låst desto sämre blir det i princip

Trädvy Permalänk
Medlem
Plats
Zion
Registrerad
Apr 2004

@tjabo:
Vad är det för spel och vet folk vad buggen är/gör?

[ i5-6600K @ 4.7Ghz || Corsair H110 GTX || 16GB DDR4 || ASUS Z170 Pro Gaming || Asus ROG 1080 Strix @ 2100+/11Ghz+ ]
Unigine Superposition 1080p; 17487 @ Medium; 4594 @ Extreme
"One is always considered mad, when one discovers something that others cannot grasp."
- Ed Wood

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

@Ferrat:

Battlefield 1942 De finns en del servrar kvar och dom flesta blir drabbade så dom vet ju om problemet. Där finns ett forum enbart för server ägare där vi försöker att hjälpas åt att hitta en lösning.

Just nu har dom börjat med att injicera spelnycklar från admins (hashade) och då kan dom kicka och banna hejvilt.

Det enda jag vet om buggen är att den kraschar servern och den startar om, tidigare buggar som nu är patchade tex "join team 3" (som inte finns) gjorde att servern gick i lås på 100% cpu med att försöka nåt som inte gick så då var man tvungen att manuellt stänga av och starta om igen.

Trädvy Permalänk
Medlem
Plats
Zion
Registrerad
Apr 2004

@tjabo: Ah ok så mer eller mindre det som händer är att de fiskar upp en admins key hashad, med den så "låtsas" de vara admin och servern går ner?

Svårt att stoppa utan att stoppa admins själva :S På själva servern kan det vara svårt, möjligen om du t.ex. har en router mellan eller så och inte hyr server så skulle man teoretiskt kunna whitelista admins ip med deras keys och droppa alla andra som skickar det innan de når servern men kräver som sagt kontroll på linan och en hel del jobb skulle jag tro.

[ i5-6600K @ 4.7Ghz || Corsair H110 GTX || 16GB DDR4 || ASUS Z170 Pro Gaming || Asus ROG 1080 Strix @ 2100+/11Ghz+ ]
Unigine Superposition 1080p; 17487 @ Medium; 4594 @ Extreme
"One is always considered mad, when one discovers something that others cannot grasp."
- Ed Wood

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

@Ferrat:

Dom fejkar Admins ja, men kraschbuggen kan dom göra utan admin behörighet.

Får väl köra med whitelist om inget annat går, det dumma med det är för dom som har dynamiska IP.

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av tjabo:

@Ferrat:

Dom fejkar Admins ja, men kraschbuggen kan dom göra utan admin behörighet.

Får väl köra med whitelist om inget annat går, det dumma med det är för dom som har dynamiska IP.

Har ni en community så går det ju att använda den till webbaserad portknock

Trädvy Permalänk
Medlem
Plats
Zion
Registrerad
Apr 2004

@aluser:
Jo det funkar ju iofs, vet att en del DayZ servers använder sådant kombinerat med whitelist för att slippa script kiddies m.m, fungerar rätt bra, problemet kan vara crashen om de bara behöver ha server IP och sända en ett visst packet så dör den, då spelar det inte så mycket roll tyvärr

[ i5-6600K @ 4.7Ghz || Corsair H110 GTX || 16GB DDR4 || ASUS Z170 Pro Gaming || Asus ROG 1080 Strix @ 2100+/11Ghz+ ]
Unigine Superposition 1080p; 17487 @ Medium; 4594 @ Extreme
"One is always considered mad, when one discovers something that others cannot grasp."
- Ed Wood

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

@Ferrat:
Det verkar som dom måste "joina" först innan dom kan aktivera buggen, det finns blacklist med ca 5k IP (fuskare och kraschare) men sist jag kollade verkar bara 3 av dom vara i bruk.

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

@aluser:

mm har med varit inne på det, det är flera olika communitys men ett särskilt forum som en kille driver för att samla server admins/sysops. Det är lite blandad kunskapshöjd (en del hyr färdiga lösningar och betalar per slot) och precis som verkliga livet svårt att få alla att dra åt samma håll.

Trädvy Permalänk
Medlem
Registrerad
Jul 2005
Skrivet av hakd:

@tjabo:

Du kan ju blockera port TCP 443 till och från din maskin så funkar inga OPENVPN (vanligaste).
Ska du använda IPtables så måste du veta ip-range på Samtliga VPN du planerar att blockera

att blockera port 443 är väl rätt osmart?

då kan man väl inte ens surfa på:
httpS://www.google.se
httpS://www.swedbank.se
httpS://www.yahoo.com

Trädvy Permalänk
Medlem
Plats
Cyberspace
Registrerad
Apr 2008
Skrivet av Lexdale:

att blockera port 443 är väl rätt osmart?

då kan man väl inte ens surfa på:
httpS://www.google.se
httpS://www.swedbank.se
httpS://www.yahoo.com

Utgår från att det är inkommande, inte utgående, trafik som det syftas på.

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

@Dr.Mabuse:
Ja inkommande.

Skrivet av tjabo:

Skulle behöva veta om det finns nåt sätt att detektera inkommande trafik från vpn.

Verkar inte finnas nåt lätt svar på frågeställningen.

Trädvy Permalänk
Medlem
Plats
Zion
Registrerad
Apr 2004
Skrivet av hakd:

@tjabo:

Du kan ju blockera port TCP 443 till och från din maskin så funkar inga OPENVPN (vanligaste).
Ska du använda IPtables så måste du veta ip-range på Samtliga VPN du planerar att blockera

Fast det förutsätter att openvpn servern enbart skickar ut data via just den porten, normalt är ju att den används till server<->client kommunikationen inte till att köra requests ut?

det går ju normalt
VPN Client<-port 443->VPN server<-port "random"-> Nätet?

Anledningen till att 443 används av VPN tjänster är ju att det redan går krypterad data där och många servrar släpper igenom det just för att https använder den porten som standard vilket gör att du kan koppla upp mot VPN så länge som din ISP inte blockar https vilket väldigt få gör iom att det krävs för olika säkra tjänster m.m. på nätet.

[ i5-6600K @ 4.7Ghz || Corsair H110 GTX || 16GB DDR4 || ASUS Z170 Pro Gaming || Asus ROG 1080 Strix @ 2100+/11Ghz+ ]
Unigine Superposition 1080p; 17487 @ Medium; 4594 @ Extreme
"One is always considered mad, when one discovers something that others cannot grasp."
- Ed Wood

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

Olika vpn leverantörer använder olika portar, en del har fler än en för att gå runt blockeringar + att det finns olika vpn protokoll med olika standardportar.

Jag har funderat på lite olika lösningar som förmodligen fungerar men som är lite knepiga att implementera på ett bra sätt. Får återkomma om det blir några resultat.