Impedir os anúncios Bonjour pelo OpenVPN

4

Temos um servidor OpenVPN em funcionamento, que uso com freqüência para acessar recursos de trabalho privados. Quando eu faço isso, o "Compartilhado" listado no Finder preenche todos os servidores / recursos anunciados automaticamente no trabalho, mas o inverso também é verdadeiro. Meus recursos locais aparecem para qualquer pessoa no trabalho e / ou na VPN também.

Idealmente, gostaria de impedir que meus anúncios passassem pelo link da VPN, mas gostaria de ter os compartilhamentos fisicamente no trabalho disponíveis para mim enquanto estiver na VPN. Se o único método é desativar Bonjour (temporariamente), eu vou ficar bem com isso, mas existe uma maneira de torná-lo unilateral?

E, claro, a pergunta principal: como faço para conseguir isso, em primeiro lugar.

Jason Salaz
fonte
Relacionados: apple.stackexchange.com/questions/960/...
Jason SALAZ
A enorme quantidade de resultados de pesquisa do Google que me ligam aqui agora é surpreendente.
Jason Salaz

Respostas:

1

Normalmente, o Bonjour funciona apenas na rede local e apenas sua extensão Wide-Area-Bonjour funciona através de VPNs. Você configurou seu computador para usar isso ou configurou seu roteador para lidar com isso? Além disso, quais outros recursos aparecem para os outros no trabalho?

Mas, de qualquer maneira, você não precisa ter o Compartilhamento de Arquivos "ativado" no seu computador (o que causará a difusão do nome do seu computador pelo Bonjour) para acessar outras pessoas; basta desligar os serviços que não deseja. outros para ver e você deve ser bom.

Asmus
fonte
(1) Bonjour não funciona em PPTP / L2TP / etc. VPNs. Eu não sei o motivo técnico, mas ele funciona através de VPNs SSL e OpenVPN. Não uso o ShareTool e não tenho nenhuma configuração especial para criar esse cenário. Também vejo todas as minhas ações de colegas de trabalho. (2) Sua sugestão não é uma solução, pois quebra a funcionalidade que eu uso. Eu quero ver o iMac no andar de cima (o que não é meu, btw), no meu laptop agora estou digitando em. Eu não quero indivíduos no trabalho para ser capaz de fazer o mesmo.
Jason Salaz
(2): você não especificou quais recursos locais você possui; então, sem conhecer o seu Mac local, minha sugestão não seria tão ruim.
Asmus
(1): Bonjour é um protocolo multicast e funciona apenas com link local (portanto, apenas no seu domínio de transmissão local, não através de sub-redes!), A menos que você use sua implementação de "área ampla"; para isso, o servidor DNS que você está usando no trabalho precisa atualizar todos os clientes conectados pelo DNS-SD para publicar seus serviços registrados. Portanto, a pergunta seria por que o seu iMac no andar de cima está se registrando no servidor DNS do seu trabalho depois que você inicia sua VPN no seu laptop ?! Você já entrou no servidor DNS do seu trabalho no seu roteador?
Asmus
Você poderia descrever quais etapas foram necessárias para executar a instalação da VPN? Você simplesmente teve que importar um arquivo openvpn.ovpn ou precisou configurar alguma outra coisa, talvez com um instalador .pkg que recebeu de alguém no trabalho? Além disso, você tem uma entrada no firewall para encaminhar pacotes multicast ao servidor DNS do seu trabalho? Você poderia fazer "lista ipfw sudo" no Terminal e procure por entradas que a frente 224.0.0.251 (isso é a área de mDNS)
Asmus
Parece que esse problema ocorreu devido ao software que retransmitia as coisas ativamente. Ou seja: o iTunes estava retransmitindo ativamente a existência de um AppleTV na VPN. Eu acho que. Independentemente disso, com um conjunto padrão de aplicativos, nada é exposto do meu computador fora do próprio computador. Obrigado por ficar por aqui comigo.
precisa
1

Que tal bloquear o tráfego udp na porta 5353?

er4z0r
fonte
É realmente assim tão simples? Posso filtrar apenas 5353 de saída?
Jason Salaz
1

Se você estiver usando o OpenVPN, presumo que você esteja usando o Linux no lado do servidor.

Como o OpenVPN está trabalhando no modo de ponte da camada 2, a aplicação de um filtro padrão com iptablesnão funcionará. iptablesfunciona na camada 3 e sua VPN é anterior à camada 2.

O truque é usar o ebtablesque é parecido com iptablesa camada 2.

Você pode bloquear a porta UDP 5353 com ebtables.

user37775
fonte
11
Suposição estranha, já que o OpenVPN é multiplataforma, mesmo que você esteja correto: P.
Jason Salaz