一旦启动，如何确保所有流量都通过VPN连接？

我通过VPN提供商与其他预防措施连接到Internet，以确保隐私（针对专制政府机构的流量分析）。我目前使用Tunnelblick来配置和建立VPN连接。Tunnelblick不允许在登录时或登录之前自动连接到提供程序，因此我每次都需要手动连接，有时连接会丢失。

我需要任何流量都始终通过VPN连接；每当VPN由于任何原因无法连接时，我都希望后备无连接。我要确保

• OS X无法通过我的常规Internet连接或在启动过程中根本没有连接到Internet（直到登录屏幕，时间同步和其他可能的“呼唤”之类的东西）。哪些服务（如果有的话）尝试执行此操作，以及如何在启动过程中切实分析和更改网络的运行状况？有没有一种方法可以在登录后立即连接到VPN？

• 如果我的VPN连接暂时丢失，则应用程序将无法继续通过我的常规未加密连接进行通信。

我基本上希望系统在VPN连接失败的情况下表现得好像完全失去了网络连接，但是目前它们只是继续工作，就好像什么都没发生一样。我该如何对我的系统进行处理，以使建立VPN后，所有流量只能通过该连接流动，如果连接断开，则没有流量可以流动？

您需要在与Internet之间的防火墙，该防火墙将阻止除VPN主机IP地址的流量以外的所有流量。

您的路由器很可能会内置此功能

Mac OS X包含基于命令行的ipfw命令，可用于设置高级本地防火墙规则。

ipfw使用按顺序编写和检查的规则。因此，低数规则首先要在列表末尾进行检查。配置防火墙时，有两种方法：

• 关闭网络+允许流量
• 打开网络+拒绝流量

在您的情况下，您需要关闭所有流量，然后仅使用VPN所使用的端口来允许流量到达VPN的IP地址。只要您的规则严格，这将防止任何杂散数据包散发出来。

互联网上有很多很棒的ipfw指南和教程，广泛用于许多Unix和Linux操作系统中，其中包括：

• http://www.freebsd.org/doc/zh_CN.ISO8859-1/books/handbook/firewalls-ipfw.html
• http://www.ibiblio.org/macsupport/ipfw/
• http://freebsd.rogness.net/redirect.cgi?basic/firewall.html

我建议您对它们进行调查，看看是否能够充分理解该命令。至少，我建议您确保您知道如何禁用防火墙并清除规则，以防万一由于配置错误而使计算机陷入困境！

祝好运 ：）