A l'aide : Filtrage de l'accès à OpenVpn par BlockOutTraffic

[jsilva]

Objet : Filtrage des accès à OpenVpn conditionné à l'adresse IP du PC distant par BlockOutTraffic

Config:
IpCop 1.4.21
ZERINA-0.9.7a14
BlockOutTraffic 3.0.0 - Build 3

Problème de configuration des règles de BlockOutTraffic avec l'interface graphique pour :

1- Interdire la connexion à OpenVpn depuis n'importe quelle adresse IP
2- Autoriser seulement quelques adresses IP à ce connecter

Quelqu'un pourrait-il m'indiquer les règles à mettre en place avec BlockOutTraffic 3.0.0, via l'interface graphique (GUI), pour empêcher le service OpenVPN (DROP) de répondre à la tentative de connexion ?

Il ne s'agit pas de filtrer les services accessibles par OpenVpn (Zerina HOWTO client-specific access rules) mais d'empêcher la réponse à la tentative de connexion.

Ceci est possible modifiant le fichier /etc/rc.d/rc.firewall.local :
sous
start)
.............................................
#Added for zerina start - END
# Ajoute par moi - DEBUT
# Interdire en entrée le protocole UDP par le Port 1194
/sbin/iptables -I INPUT -p udp --dport 1194 -j DROP
# Autoriser en entrée le protocole UDP par le Port 1194 pour l'adresse source w.x.y.z
/sbin/iptables -I INPUT -p udp --dport 1194 -s w.x.y.z -j ACCEPT
# Ajoute par moi - FIN
.............................................
sous
stop)
.............................................
## add your 'stop' rules here
# Ajoute par moi - DEBUT
/sbin/iptables -D INPUT -p udp --dport 1194 -s w.x.y.z -j ACCEPT
/sbin/iptables -D INPUT -p udp --dport 1194 -j DROP
# Ajoute par moi - FIN
.............................................

Mais je souhaiterais pouvoir obtenir le même résultat via l'interface graphique (GUI) de BlockOutTraffic 3.0.0 sur IpCop.

Merci d'avance,
J.Silva

[ccnet]

De mémoire et rapidement, il me semble que lors de la sortie de BOT 3, le site comportait une information sur le sujet car la version précédente acceptait systématiquement des demandes de connexion. Or il n'en est pas de même en version 3 pour laquelle le trafic Openvpn doit être explicitement autorisé. Avec vous cherché sur le site de BOT ?

[jsilva]

Tout à fait. J'ai pris connaissance de cette information.
Néanmoins il ne s'agit pas de bloquer le trafic lui même (bloqué par défaut par BOT) mais de bloquer / empêcher la connexion au service avant même qu'il ne soit question de trafic sur le VPN.

Merci pour votre intervention.

J.Silva

[ccnet]

Je ne comprend pas bien où vous souhaitez en venir.
A tout hasard, pour bloquer une ip lamba indépendamment du service demandé, c'est à dire ne pas répondre à cette ip j'utilisais Banish. http://ww2.banish.sidsolutions.net:8081/

[jsilva]

Je suis désolé mais je ne peux pas m'expliquer plus clairement.

Cette question s'adresse tout particulièrement à celles et ceux qui utilisant la trilogie IpCop/Zerina/BlockOutTrafic ont été confronté(e)s au même problème. Un retour d'expérience.

Il se peut qu'il n'y aie pas de solution via le GUI avec cette configuration/versions, et donc acte.

Mais, confronté au même problème il y a un an, avec les version de l'époque de la trilogie, j'ai pu obtenir le résultat escompté à partir du GUI de BOT. Malheureusement il s'agissait d'un test pour évaluer les fonctionnalités avant une mise en production éventuelle et le document retraçant la configuration à été égaré.

En vous remerciant de l'attention que vous avez bien voulu consacrer à mon problème,

J.Silva