Bonjour à tous, je suis en train d'écrire des règles de filtrage au niveau de ma machine debian qui héberge un serveur vpn . Cette machine fait bien entendu office de passerelle( forward des paquets ip). Ce que je voudrais, c'est que les clients du Lan puissent se connecter à internet, ftp ... uniquement si ils ont le vpn installés sur leur pc ( ce qui implique qu'ils ont pu s'authentifier auprès du serveur vpn).
récapitulatif du schéma: INTERNET ------eth1-Machine Debian( serveur vpn)-eth0-----------LAN (clients)
tun0 est l'interface virtuelle au niveau du serveur openvpn.
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -F
# Mise en place des régles par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
### Tout autoriser sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#permettre d'accéder au serveur vpn
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --sport 1194 -j ACCEPT
### Autoriser taffic WEB
iptables -A INPUT -i tun0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o tun0 -p TCP --dport 80 -j ACCEPT
iptables -A FORWARD -i tun0 -p TCP --dport 80 -j ACCEPT
### Autoriser traffic DNS
iptables -A INPUT -p UDP --dport 53 -j ACCEPT
iptables -A OUTPUT -p UDP --dport 53 -j ACCEPT
iptables -A FORWARD -p UDP --dport 53 -j ACCEPT
#Autoriser le trafic entrant d'une connexion déjà établie
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#masquerading
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
J'arrive bien à autorisé l'authentification(règles sur le vpn) mais ensuite je n'arrive pas à autorisé internet pour le vpn uniquement.
merci de votre aide
iptables pour vpn
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
iptables pour vpn
par mostOn » 11 Fév 2009 12:32
- mostOn
- Matelot
- Messages: 5
- Inscrit le: 15 Jan 2009 17:57
par jdh » 11 Fév 2009 14:42
Alors, en 2009, on continue a écrire ses scripts iptables "à la main" ?
Pour Debian, il existe des paquets, mentionné dans le guide d'admins Debian de Raphael Herzog (CE guide est A LIRE !), servant à faire du firewall dans de bonnes conditions : Shorewall, FwBuilder. Et il doit en exister d'autres.
Par exemple avec Shorewall, ces règles doivent être faciles faciles à écrire.
Je ne comprends pas très bien pourquoi 53/udp arriverait en entrée sur une machine comme celle là.
Pour Debian, il existe des paquets, mentionné dans le guide d'admins Debian de Raphael Herzog (CE guide est A LIRE !), servant à faire du firewall dans de bonnes conditions : Shorewall, FwBuilder. Et il doit en exister d'autres.
Par exemple avec Shorewall, ces règles doivent être faciles faciles à écrire.
Je ne comprends pas très bien pourquoi 53/udp arriverait en entrée sur une machine comme celle là.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par mostOn » 11 Fév 2009 14:52
J'utilise plus les iptables pour comprendre le principe de fonctionnement du firewall. De plus je ne connais pas le firewall shorewall est-il plus simple à configurer pour ce que j'ai l'intention de faire ?
( J'utlise le port 53 en udp pour les requetes DNS)
( J'utlise le port 53 en udp pour les requetes DNS)
- mostOn
- Matelot
- Messages: 5
- Inscrit le: 15 Jan 2009 17:57
par jdh » 11 Fév 2009 15:51
Justement !
Utiliser 53/udp pour dns c'est assez normal !
Mais accepter une requete en ENTREE (INPUT), c'est utile SEULEMENT pour un serveur DNS !
Etes vous sur de comprendre iptables ?
Avez vous lu Christian CALECA ?
Utiliser 53/udp pour dns c'est assez normal !
Mais accepter une requete en ENTREE (INPUT), c'est utile SEULEMENT pour un serveur DNS !
Etes vous sur de comprendre iptables ?
Avez vous lu Christian CALECA ?
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
4 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité