Discussion :

[juju742]

Bonjour,

Après avoir passer mon samedi après-midi sans rien trouver a part des config serveur, je me retourne vers vous pour vous demander de l'aide.
De tant a autre je me connecte à un vpn pptp ou openvpn. J'ai configurer iptables dans ma debian 8 pour sécuriser ma connexion mais le problème c'est que je peux pas me connecter au serveur vpn. Comment je peux configurer iptable pour me connecter à un vpn. Je vous donne le debut de mon script pour avoir vos suggestion.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
#!/bin/sh
 
# Mise à 0
iptables -t filter -F
iptables -t filter -X
 
 
# On bloque tout
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 
# Ne pas casser les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Autorise le loopback (127.0.0.1)
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
# Autorise le traffic  in/out  tun+/ppp+
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A INPUT -i ppp+ -j ACCEPT
 
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i ppp+ -j ACCEPT
 
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A OUTPUT -o ppp+ -j ACCEPT

[BufferBob]

tu précises au firewall de laisser passer le trafic à l'intérieur du vpn, sur les interfaces ppp et tun, mais tu dois aussi autoriser le trafic vpn à sortir, du point de vue de la carte réseau physique (eth0 ?)

Edit: au temps pour moi j'ai lu trop vite, ligne 16 tu fais sauter ce qui concerne les RELATED et ESTABLISHED en target OUTPUT, tu laisses tout sortir (à priori)
ou mieux, tu rajoutes une règles pour autoriser les nouvelles connexions vpn sortantes OUTPUT -m state NEW -p udp --dport 1234 -j ACCEPT un truc dans le genre

[juju742]

La première solution que vous proposez me semble plus intéressant, comment je peux autorisé le trafic vpn à sortir du point de vue d'eth0. Je suis nul en iptable, j'en fais jamais.

[juju742]

Re,

J'ai essayé de m'inspirer de la ligne que vous m'avez montrer pour faire mon script et cela n'a pas fonctionner.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A OUTPUT -o eth0 -m state --state NEW -p tcp --dport 1723 -j ACCEPT

Je comprend pas mon erreur. Qu'est que j'ai fait de mal ?

[BufferBob]

Je comprend pas mon erreur. Qu'est que j'ai fait de mal ?

difficile à dire, je t'ai répondu un peu au pied levé tout à l'heure, là il faudrait étudier la question un peu plus dans le détail

• que donne la sortie de la commande ip route show | awk '/default/ {print $3}' ?
• que donne la sortie d'un iptables -L -vn ?
• peux-tu coller la configuration vpn (client) également

[nyko2014]

bjr,

il te manques en effet l'autorisation OUTPUT vers ton ip vpn sur l'interface standard

iptables -t filter -A OUTPUT -d xxxx.xxxx.xxxx.xxxx -o eth0 -j ACCEPT

xxxx.xxxx.xxxx.xxxxx étant Ip internet de ton serveur vpn

par contre, la ligne ci-dessous en OUTPUT des connexions dites déjà établies ne sert à rien, aucune nouvelle connexion entrante n'est attendue depuis l'internet...

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



NOTE: RELATED et ESTABLISHED n'accepte que les connexions qui sont déjà établies, et pour joindre ton serveur vpn, c'est une nouvelle connexion qui n'est pas encore établie.... c'est effectivement la règle qui manquait.

[BufferBob]

par contre, la ligne ci-dessous en OUTPUT des connexions dites déjà établies ne sert à rien, aucune nouvelle connexion entrante n'est attendue depuis l'internet...

ben ça sert à ne laisser sortir que les paquets liés à des connexions existantes en sortie, ce qu'il manque c'est le --state NEW -j ACCEPT vers le vpn, et ça ne revient pas tout à fait au même, avec ce que tu proposes il pourrait envoyer des ACK ou des RST en dehors de toute connexion par exemple, pas avec sa méthode

mais fonctionnellement tu proposes la même chose que moi sur le principe, et ça n'a pas l'air de fonctionner, c'est pour ça que je lui demandait des précisions

[nyko2014]

ben ça sert à ne laisser sortir que les paquets liés à des connexions existantes en sortie, ce qu'il manque c'est le --state NEW -j ACCEPT vers le vpn, et ça ne revient pas tout à fait au même, avec ce que tu proposes il pourrait envoyer des ACK ou des RST en dehors de toute connexion par exemple, pas avec sa méthode

mais fonctionnellement tu proposes la même chose que moi sur le principe, et ça n'a pas l'air de fonctionner, c'est pour ça que je lui demandait des précisions

avec la ligne output proposé, seul son serveur vpn sera accessible, je ne vois pas pourquoi des ACK&RST irait se promener autre et ailleurs sur la toile, tout le reste est bloqué, (hormis son interface vpn bien sûr)

pour ma part je procède ainsi et mon fournisseur vpn ne m'a jamais hacké, mon système étant propre.

[BufferBob]

avec la ligne output proposé, seul son serveur vpn sera accessible

j'ai pas bien compris ta phrase, de quelle ligne output tu parles (la sienne, la mienne, la tienne) ?
pour moi il s'agit d'autoriser le client vpn à sortir, l'accessibilité du serveur ça se joue sur l'autre machine

je ne vois pas pourquoi des ACK&RST irait se promener autre et ailleurs sur la toile

c’était juste un exemple.

Edit:

pour ma part je procède ainsi

oui, moi aussi ^^

mon fournisseur vpn ne m'a jamais hacké, mon système étant propre.

je me permets quand même de te faire remarquer qu'à priori ce n'est pas ton fournisseur vpn qui risque de te pirater, et que le fait de ne jamais s'être fait pirater ne veut absolument pas dire ni que le système est propre ni que quelqu'un a déjà essayé de le pirater

[nyko2014]

je me permets quand même de te faire remarquer qu'à priori ce n'est pas ton fournisseur vpn qui risque de te pirater, et que le fait de ne jamais s'être fait pirater ne veut absolument pas dire ni que le système est propre ni que quelqu'un a déjà essayé de le pirater

pourquoi détournes tu le sujet initial ? tu me sembles extrêmement compliqué de retourner les choses, si un système est propre, il ne sera pas piraté, si un système est vérolé, il n'a plus qu'à attendre le pirate voilà tout.


cela dit, dans le cas présent, le sujet n'étant pas la protection par obscurantisme mais tout simplement bloquer le flux si un vpn tombe.
bonne soirée.

[BufferBob]

pourquoi détournes tu le sujet initial ? tu me sembles extrêmement compliqué de retourner les choses, si un système est propre, il ne sera pas piraté, si un système est vérolé, il n'a plus qu'à attendre le pirate voilà tout.

inutile d'être agressif, il s'agissait pas ici de deux visions qui s'opposent ou d'une discussion conflictuelle, uniquement de subtilités techniques (ou de la langue française peut-être ?), mais je ne chercherais pas plus à en discuter, on a qu'a dire que tu as raison; quand un système est propre, on peut pas le pirater

cela dit, dans le cas présent, le sujet n'étant pas la protection par obscurantisme

obscurité ? mais joli lapsus

[nyko2014]

inutile d'être agressif, il s'agissait pas ici de deux visions qui s'opposent ou d'une discussion conflictuelle, uniquement de subtilités techniques (ou de la langue française peut-être ?), mais je ne chercherais pas plus à en discuter, on a qu'a dire que tu as raison; quand un système est propre, on peut pas le pirater


obscurité ? mais joli lapsus

quel lapsus ? comme ce temps maussade

au temps pour moi

ou voit tu de l'agressivité ? toujours ces imbus ...qui veulent avoir le dernier mot, tellement ridicule ces mentalités.