macOS 14.6~15.1版被发现存在BUG 启用VPN连接后也会泄露少量流量

很多企业使用内部的 VPN 用来加密访问流量提高安全性，因此企业员工要访问公司内网都需要预先使用自己的账号密码连接到企业 VPN 后再进行访问。

但现在苹果 macOS 14.6~15.1 (此版本当前还在测试) 似乎都存在某种 BUG，这个问题会让少量流量不通过加密隧道连接，也就是存在流量泄露的问题。

正常情况下启用全局 VPN 连接后所有流量都应该通过加密隧道进行传输，因为路由表指定流量应该通过隧道进入。

在由于某种未知的问题，macOS 防火墙似乎无法正常工作并且可能会存在防火墙规则被无视的情况，即便如此大部分流量也会继续通过隧道传递，只是应用程序不需要遵守路由表，因此少数流量会通过普通连接进行传递。

发现这个问题的软件开发商 Mullvad 已经将该情况反馈给苹果安全团队，不过截止至本文发布时苹果还未就此事发布说明，因此还不确定这是系统的 BUG 还是第三方软件方面的 BUG。

下面是验证这个 BUG 的方法：

1. 添加阻止所有流量的防火墙规则

echo "block drop quick all" | sudo pfctl -ef -

2. 尝试将流量发送到加密隧道外

curl https://am.i.mullvad.net/connected

3. 为了测试后的清理，请禁用防火墙并清除所有规则

sudo pfctl -d
sudo pfctl -f /etc/pf.conf

4. 确保已经断开所有加密隧道连接然后查找默认网络接口

route get mullvad.net | sed -nE's/.*interface: //p'

5. 接着连接加密隧道并运行以下命令 (将 <interface> 替换为上一步中查找到的接口)

curl --interface <interface> https://am.i.mullvad.net/connected

6. 在上一步中，如果出现连接超时则代表是正常的；但如果仍然可以正常响应则代表出现了流量泄露问题。