Discussion :

[frodomo]

Bonjour à tous,

Voila j'ai configuré mon iptables pour autorisé seulement les connexions avec mon fournisseur VPN et l'interface loopback.
En faisant un test de fuite DNS, j'ai eu la surprise de voir apparaitre mon FAI.
N'ayant pas autorisé les connexions à mon réseau local je ne comprend pas très bien comment les requêtes DNS ont put être transmises à la passerelle 192.168.1.1 (je vois bien dans les logs que les connexions sont droppées). Au mieux je me serait attendu à ne pas pouvoir navigué sur internet.
Pour résoudre mon problème de fuite, j'ai remplacé le serveur DNS dans le dhclient.conf mais j'aimerai savoir s'il y a quelque chose que j'ai loupé ou que je ne comprend pas très bien.

Ci dessous ma conf iptables:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
                /sbin/iptables -F
		/sbin/iptables -F -t nat
 
		#accept connections from local interface
		/sbin/iptables -A INPUT -i lo -j ACCEPT
		/sbin/iptables -A OUTPUT -o lo -j ACCEPT
 
		#Allow traffic from already established connections
		/sbin/iptables -A INPUT -s 5.157.36.100 -m state --state ESTABLISHED,RELATED -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Accept established INPUT "
		/sbin/iptables -A INPUT -s 5.157.36.100 -m state --state ESTABLISHED,RELATED -j ACCEPT
		/sbin/iptables -A OUTPUT -d 5.157.36.100 -m state --state ESTABLISHED,RELATED -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Accept established OUTPUT "
		/sbin/iptables -A OUTPUT -d 5.157.36.100 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
		#Allow traffic for openvpn and NordVPN servers
		/sbin/iptables -A INPUT -i tun+ -j ACCEPT
		/sbin/iptables -A OUTPUT -o tun+ -j ACCEPT
		/sbin/iptables -A OUTPUT -p tcp -d 5.157.36.100 --dport 443 -j ACCEPT
		/sbin/iptables -A INPUT -p tcp -s 5.157.36.100 --sport 443 -j ACCEPT
 
		#Defining default policies
		/sbin/iptables -A INPUT -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Drop INPUT "
		#/sbin/iptables -A INPUT -j DROP
		/sbin/iptables -A OUTPUT -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Drop OUTPUT "
		#/sbin/iptables -A OUTPUT -j DROP
		/sbin/iptables -A FORWARD -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Drop FORWARD "
		#/sbin/iptables -A FORWARD -j DROP
		/sbin/iptables --policy INPUT DROP
		/sbin/iptables --policy OUTPUT DROP
		/sbin/iptables --policy FORWARD DROP

Je vous remercie pour votre aide!

[sunriseparadyse]

Bonjour,

J'ai essayé de traduire tes commandes.

T'en penses quoi ?

Que dit le traceroute ? Sur quelle interface part la requette DNS ?
Attention avec le ESTABLISHED,RELATED, si c'est déjà fait avant ta règle, et bien t'es foutu

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
# ON DROP TOUT SUR LA TABLE FILTER OK
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP 

# ON VIDE L EXISTANT OK
iptables -F
iptables -F -t nat
 
# ON ACCEPTE TOUT SUR LA loop-B OK pourquoi pas
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
# ON LOG TOUT si la connexion a déjà été établie par un précédent paquet ou si le paquet établie une nouvelle connexion mais est liée à une connexion précédente en INPUT en source 5.157.36.100
# ON LOG TOUT si la connexion a déjà été établie par un précédent paquet ou si le paquet établie une nouvelle connexion mais est liée à une connexion précédente en OUTPUT en destination 5.157.36.100
iptables -A INPUT -s 5.157.36.100 -m state --state ESTABLISHED,RELATED -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Accept established INPUT "
iptables -A OUTPUT -d 5.157.36.100 -m state --state ESTABLISHED,RELATED -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Accept established OUTPUT "

# ON autorise TOUT si la connexion a déjà été établie par un précédent paquet ou si le paquet établie une nouvelle connexion mais est liée à une connexion précédente en INPUT en source 5.157.36.100
# ON autorise TOUT si la connexion a déjà été établie par un précédent paquet ou si le paquet établie une nouvelle connexion mais est liée à une connexion précédente en OUTPUT en destination 5.157.36.100
iptables -A INPUT -s 5.157.36.100 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -d 5.157.36.100 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# ON autorise tout le trafic sur l'interface d entrée turn
# ON autorise tout le trafic sur l'interface de sortie turn
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT

# ON autorise TCP port 443 a sortir vers 5.157.36.100
# ON autorise TCP port 443 a entrer de 5.157.36.100
iptables -A OUTPUT -p tcp -d 5.157.36.100 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -s 5.157.36.100 --sport 443 -j ACCEPT

 
# LOG
iptables -A INPUT -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Drop INPUT "
#iptables -A INPUT -j DROP
iptables -A OUTPUT -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Drop OUTPUT "
#iptables -A OUTPUT -j DROP
iptables -A FORWARD -m limit --limit 5/min -j LOG --log-level 7 --log-prefix "Drop FORWARD "
#iptables -A FORWARD -j DROP