Bu VPN Kill Switch uygulaması yeterince güvenli mi?

Özel İnternet Erişimi VPN kullanıyorum ve linux dağıtımları için bir kill anahtarı sağlamıyor. Bu yüzden iptables kullanarak basit bir senaryo yazdım.

Wireshark’ı çalıştırdıktan sonra, wlp6s0’daki tüm trafiğin genel IP’mden (VPN sağlayıcısının IP’si) geldiğini gördüm. Böylece, diğer tüm IP'leri wlp6s0'da engelledim, böylece VPN bağlantısının kopması durumunda tüm paketler düşecek.

İşte script:

#!/bin/sh
IP=$(dig +short myip.opendns.com @resolver1.opendns.com)
iptables -A OUTPUT -o wlp6s0 ! -d $IP -j DROP
iptables -A INPUT -i wlp6s0 ! -s $IP -j DROP

Bu senaryo işe yarıyor gibi görünüyor. Ancak, bakıyorum başka bir yönü olup olmadığından emin değilim. VPN'in ve TUN / TAP'ın çalışması hakkında daha fazla bilgi sahibi olan biri, VPN'in bağlantısı kesilirken senaryomun gizliliğimi korumak için yeterince iyi olup olmadığını açıklayabilir mi?

Güvenlik açısından, birkaç olası sızıntı görüyorum:

1. iptables IPv6 trafiğini hiç engellemiyor. IPtables kurallarınızı yansıtan ip6tables kuralları eklemek isteyeceksiniz.
2. Bir noktada, internete bakan wlp6s0 dışında bir ağ arayüzünüz olabilir. Bununla ilgilenmek için, trafiğin lo ve tun0 (veya VPN arayüzünüzün her neyse) olduğu, VPN sunucusundaki herhangi bir arayüzde trafiğe izin veren ve diğer tüm trafiği engelleyen kurallar öneririm.
3. Bir protokol veya bağlantı noktası değil, yalnızca VPN sunucusunun IP'sini belirlersiniz. VPN sunucusu başka hizmetleri de çalıştırıyorsa, trafiğin açık bir şekilde gitmesine izin veriyorsunuz.

Zaten sahip olduğunuz kurallarla ilgili birkaç kullanılabilirlik sorunu var:

1. VPN sunucunuzu IP adresine göre değil, ana bilgisayar adına göre belirlediniz. DNS kurallarınızda istisna olmadan, henüz VPN'de değilseniz bu ana bilgisayar adını çözemezsiniz. Açıkçası, bunun en basit yolu ana bilgisayar adı yerine IP kullanmaktır, ancak dinamikse bunu yapamayabilirsiniz. Bunu güvenli bir şekilde düzeltmek, tüm DNS trafiğinin resolver1.opendns.com'a izin vermesi kadar basit değildir, çünkü daha sonra tüm DNS trafiğinizin kendilerine sızmasına neden olabilirsiniz.
2. DHCP için bir istisna bulunmadığından, dinamik bir IP adresi alamazsınız. Statik bir IP adresi kullanıyorsanız, bunun önemi yoktur, ancak kullanmazsanız, bu ağa bağlanamamanıza neden olur.