(Modificado para maior clareza, 11/11/13) Duas perguntas distintas, logo antes da tabela de rotas.
Eu sei que isso foi coberto. Li dezenas de postagens, mas ainda tenho dúvidas.
Tenho um servidor de trabalho cujo tráfego nunca deve sair da minha casa sem criptografia. A VPN é PPTP. Atualmente tenho um cron job que verifica o status do adaptador ppp0 a cada minuto. Se a conexão cair, o que acontece com bastante frequência, ela desliga componentes importantes.
É bastante fácil reiniciar o PPTP com "nmcli con up id 'myVPNServer'", mas não há garantia de que ele se reconectará e preciso de uma maneira melhor de interromper o tráfego (além de matar aplicativos) quando o ppp0 estiver inativo.
As duas opções que vi discutidas são o firewall (UFW, Firestarter, IPTables) ou as tabelas de rotas. Eu poderia ser facilmente levado a considerar a opção de firewall, mas me concentrei nas tabelas de rotas, já que nenhuma nova função precisa ser iniciada.
Minhas perguntas envolvem a maneira como as tabelas de rotas mudam e, em seguida, detalhes sobre as regras.
Quando inicio a VPN PPTP as tabelas de rotas mudam. Isso sugere que, se a VPN cair, a tabela voltará a mudar, anulando minha intenção declarada de impedir o tráfego externo. Como posso fazer alterações "fixas" na tabela de rotas que persistirão mesmo se a conexão VPN cair? Talvez as caixas de seleção "Ignorar rotas obtidas automaticamente" ou "Usar esta conexão apenas para recursos da rede" (que fazem parte das opções de configuração da VPN)?
Parece que, se eu puder forçar a tabela de rotas VPN ativa a permanecer em vigor, mesmo quando a VPN cair, isso eliminará efetivamente qualquer tráfego externo caso a VPN caia. Isso me dará liberdade para executar uma rotina para reiniciar a VPN a partir da linha de comando (assumindo que as regras da tabela de rotas não me impedem de restabelecer a conexão).
Minha tabela de rotas, com a VPN ativa é (lista de rotas IP):
Qual processo está modificando a tabela de rotas (quando inicio a VPN)?
Algum comentário sobre o que é 10.10.1.1?
$ ip route list
default dev ppp0 proto static
10.10.1.1 dev ppp0 proto kernel scope link src 10.10.1.11
VPN_Server_IP_Address via 192.168.1.1 dev eth0 proto static
VPN_Server_IP_Address via 192.168.1.1 dev eth0 src 192.168.1.60
169.254.0.0/16 dev eth0 scope link metric 1000
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.60 metric 1
Responder1
Espero que o exemplo de configuração possa lhe dar uma ideia para outra abordagem. Ex: execute scripts para fazer o que você quiser nos eventos "up\down.." do ppp0. Você pode usar o script predown para interromper todos os seus serviços, bloquear todo o tráfego no firewall e liberar a tabela de roteamento.
zcat /usr/share/doc/ifupdown/examples/network-interfaces.gz | less
# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)
##...
# The "pre-up", "up", "down" and "post-down" options are valid for all
# interfaces, and may be specified multiple times. All other options
# may only be specified once.
Presumo que seja isso NetworkManagerque está modificando sua tabela de roteamento. Os arquivos de configuração do NetworkManagerpodem ser encontrados em/etc/NetworkManager/*
Adicione o seguinte em [ipv4] para sua conexão (pptp):
ignore-auto-routes=true
ignore-auto-dns=true
Presumo que você precise reiniciar a conexão pptp para que ela se torne ativa. Trabalhado?