openbsd で teamviewer を ブロックする

3) BLOCK teamviewer by openbsd

 eamvieｗｅｒ は　通 常のｆｉｒｅｗａｌｌを乗り越え内部に侵入していきます。


openbsdのpfだ けでは防御不能です。
例えば会社の内部の一台で　teamviewerが 起動しているとIDとPASSWDで そのPCに入られま す。
そのPCを から他のPCに 接続して、中の情報を抜き取られます。
そのために　以下の方法でteamvieｗｅｒ をブロックします。
つまり　squidを あわせて使います。

BLOCK  teamviewer by openbsd
teamvieｗｅｒ は　通 常のｆｉｒｅｗａｌｌを乗り越え内部に侵入していきます。

openbsdのpfだけでは防御不能です。
例えば会社の内部の一台で　teamviewerが起動しているとIDとPASSWDで そのPCに入られます。
そのPCをから他のPCに 接続して、中の情報を抜き取られます。
そのために　以下の方法でteamvieｗｅｒ をブロックします。
つまり　squidをあわせて使います。


下のような構成で　windows81　が　linuxの teamserver にはいていくのを
openbsdが止めます。
internet
|
wifi router---windows81
|
urtwn0 dhcp
openbsd：(fire wall=pf+squid)
fxp0 192.168.64.1/24(dhcpd)
|
dhcp
linux



in order to access internet by linux PC
(firefox edit>preference>adavance>setting>http proxy 192.168.64.1 port 3128



# ./comment-out.bat  /etc/squid/squid.conf                                                                  
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/squid/cache
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320



# ./comment-out.bat  /etc/pf.conf                                                                           
ext_if="urtwn0"
int_if="fxp0"
tcp_services="{ 22, 113 }"
icmp_types="echoreq"
set block-policy return
set loginterface $ext_if
set skip on lo
set reassemble yes no-df
pass in quick log on $ext_if inet proto tcp to port 80 divert-to 127.0.0.1 port 3128
pass out quick from 127.0.0.1 divert-reply
anchor "ftp-proxy/*"
pass in quick on $int_if inet proto tcp to any port ftp \
    divert-to 127.0.0.1 port 8021
block in log
pass out quick
antispoof quick for { lo $int_if }
pass in  on  $ext_if   inet proto tcp from any to  ( $ext_if:0 ) port  $tcp_services
pass in inet proto icmp all icmp-type $icmp_types
pass in on $int_if






すると　win81　 のteamviewer から　linuxのteamviewer に接続しよ うとしても
パー トナーへの接続はありません
となって接続を拒否される。
つまり　openbsd firewall が侵入を食い止めた。



ということでサーバーとして使うなら　やはりopenbsdが簡単で　堅牢 です。
特に　ftpサーバー設定でその違い がわかるでしょう。
ただしGUIは下手です。

そのため自分はarch linuxを 使ってます。
これなら　2015/7/5の 時点で　カーネルは
uname -r
4.0.7-2-ARCH
と最新になってます。

私見ですが、teamviewerをしこまれたPCは　「私はここよ。　私の声に乗って私を連れに来て」と　８０番ポー ト？で声をあげます。　従ってどこにいてもteamviewerでそこに入っていけます。
も し万一このPCに起爆装置がつながっていたら、遠隔操作で爆発します。
も しカメラがつながっていたら盗撮ですし、　マイクならば盗聴されます。
便 利ですが　ドローン並みに危ない面があります。