Discussion :

[frodomo]

Bonjour à tous,

J'ai chez moi un raspberry pi sur lequel j'ai configuré OpenVPN.
j'ai voulu configuré iptables afin d'autoriser toutes les connexions depuis le réseau local, ainsi que les redirections nécessaires pour OpenVPN.
J'ai fait le script suivant cependant il ne semble pas se comporter comme je le souhaiterai. Aucune connexion possible sur le port SSH depuis mon réseau local, et plus de connexion internet via OpenVPN...
Je n'arrive pas à voir ce qui ne va pas.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
 
#!/bin/bash
 
iptables -F
 
#Allow all coms from private network
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
 
#Allow coms for openVPN
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0 -o eth0 -j MASQUERADE
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
 
#Accept packets belonging to established and related connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Accept coms for localhost
iptables -A INPUT -i lo -j ACCEPT
 
#Deny all other coms
iptables -P FORWARD DROP
iptables -P INPUT DROP
 
#Accept all coms out
iptables -P OUTPUT ACCEPT

Si quelqu'un a une idée ...

Je vous remercie pour votre aide!

[nyko2014]

#Deny all other coms
iptables -P FORWARD DROP
iptables -P INPUT DROP

#Accept all coms out
iptables -P OUTPUT ACCEPT

[/CODE]

Si quelqu'un a une idée ...

Je vous remercie pour votre aide!

bonjour, attention à l'ordre des règles..

par ailleurs il manque celle-ci: (FORWARD EST en DROP, ne pas oublier ses connections dites déjà établies)

iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT


(désolé pour la présentation du code, java-script est désactivé sur mon navigateur)

[frodomo]

Salut,

merci pour ta réponse.

Justement je n'arrive pas à voir où l'ordre pourrait pêcher ...
L'autorisation des connexions venant du réseau local sont autorisées dès le début.
Ainsi que le forward.

[nyko2014]

les autorisations doivent être après les DROP par défaut

[frodomo]

J'ai modifié le script comme ceci sur tes conseils :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
#!/bin/bash
 
iptables -F
 
#Deny all other coms
iptables -P FORWARD DROP
iptables -P INPUT DROP
 
#Accept all coms out
iptables -P OUTPUT ACCEPT
 
#Allow all coms from private network
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
 
#Allow coms for openVPN
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0 -o eth0 -j MASQUERADE
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
 
#Accept packets belonging to established and related connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Accept coms for localhost
iptables -A INPUT -i lo -j ACCEPT

mais sans aucun succès. Je n'arrive pas à me connecter en SSH

[nyko2014]

le serveur ssh est sur le pi ou la machine client du vpn ?

donner les retours de :

# lsof -i | grep ssh
# iptables-save