Précédent   Forum des professionnels en informatique > Systèmes > Linux > Réseau
Recharger cette page Règles iptables et protocole GRE
S'inscrire Règles FAQ Marquer les forums comme lus
Réseau Vos questions autour des réseaux et télécoms sous Linux
Partagez cette discussion sur d'autres réseaux sociaux : Viadeo Twitter Google Facebook Digg Delicious MySpace Yahoo
Réponse Proposer ce sujet en actualité
 
Outils de la discussion
Publicité
'
Vieux 17/07/2011, 06h36   #1
Invité de passage
 
Inscription : juillet 2011
Messages : 1
Détails du profil
Informations forums :
Inscription : juillet 2011
Messages : 1
Points : 0
Points : 0
Par défaut Règles iptables et protocole GRE
Bonjour,

J'ai souscris au VPN ipredator, qui ne propose actuellement que du pptp.

Configuration ethernet :
1 box qui NAT
1 poste de travail sous Debian 6 (k2.6.32)

Le tunnel est fonctionnel (conguré via le shell) et je souhaite configurer netfilter (sur le poste de travail) moi-même :

avec ces règles pas de soucis, le tunnel est fonctionnel :
code:

Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
modprobe ip_conntrack
modprobe ip_conntrack_pptp
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -p ICMP  -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -p ICMP  -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -p UDP --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -p UDP --sport 53 -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -p TCP  --dport 80 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -p TCP  --sport 80  -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -p TCP --sport 443 -j ACCEPT
 
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -p tcp --sport 1723  -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -p tcp --dport 1723  -j ACCEPT
Le gros problème c'est que là je laisse passer n'importe quel paquet de n'importe quelle provenance - connexion initiée ou non - pour peu qu'il possède un header GRE !

Pour "limiter la casse" j'ai filtré par état :
code :

Code :
Sélectionner tout - Visualiser dans une fenêtre à part
1
2
iptables -A INPUT -m state --state ESTABLISHED -p gre -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED -p gre -j ACCEPT
Et là, c'est le drame ! La connexion pptp avec le serveur ipredator tombe (l'iface ppp0 aussi).

1/ Quels moyens ai-je pour cerner et corriger ce problème ?
2/ Je désirerais aussi filter par port, mais lequel dois-je filtrer ?

Sinon il y a aussi la stratégie d'authoriser le protocole GRE par ip de serveur, cependant je n'ai trouvé qu'une seule liste (http://joes.anarcho.dk/scripts/9999_whitelist_ipredator) et donc je ne peux pas croiser cette information.

3/ Comment trouver toutes les adresses ip des serveurs correspondantes a un nom de domaine spécifique (ici ipredator.se).

Merci d'avance car je sèche lamentablement !
nabbb est déconnecté   Envoyer un message privé Réponse avec citation 00
Réponse Proposer ce sujet en actualité
Outils de la discussion



Fuseau horaire GMT +2. Il est actuellement 22h17.

Nous contacter - Developpez.com - Archives - Haut de page

 
 
Developpez.com

Nous contacter

Participez

Informations légales

 
Services

Forum Linux Professionnel

Blogs

Hébergement

 
Partenaires

Hébergement Web