Signaler

[ VPN ] configurer OpenVPN et ROUTAGE Iptables [Résolu]

Posez votre question tom@ 180Messages postés lundi 21 mars 2005Date d'inscription 9 mai 2017 Dernière intervention - Dernière réponse le 21 avril 2017 à 23:43 par tom@
Hello!

Comment sécuriser la connexion VPN ?
La préférence est le routage:

Se basant sur le le site officiel de openvpv ( https://openvpn.net/index.php/open-source/documentation/howto.html#vpntype ) , la doc dit pour iptables deux choses :


This completes the OpenVPN configuration. The final step is to add firewall rules to finalize the access policy. For this example, we will use firewall rules in the Linux iptables syntax:

# Employee rule
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT

# Sysadmin rule
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ACCEPT

# Contractor rule
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ACCEPT




On Linux, you could use a command such as this to NAT the VPN client traffic to the internet:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE



Quelles règles iptables mettre en œuvre ?

Merci de votre attention !!!
Et, de vos réponses ...

Afficher la suite 
Utile
+1
plus moins
Bonjour,

Je n'ai pas compris la question.

Pour commencer
iptables
n'a rien à voir avec le routage, c'est un pare-feu.
- Le routage ne tient compte que de l'en-tête que du IP, alors qu'iptables peut tenir compte d'autres informations (notamment les ports, qui sont dans l'en-tête UDP ou TCP)
- De plus le routage à pour but d'associer à un préfixe IP destination une interface de sortie, alors qu'iptables permet d'accepter, jeter ou modifier un paquet vérifiant un certain motif. C'est donc fondamentalement différent.

Le routage n'est en aucun cas une forme de sécurisation, mais un pare-feu oui.

Ensuite l'exemple qu'on te donne constitue des règles
iptables
, qui permettent, en fonction de l'adresse IP source (
-s
) et de l'adresse IP destination du paquet (
-d
), de le laisser circuler ou non. L'interface mise en jeu est
tun0
: celle-ci est crée par
openvpn
une fois la connexion VPN établie.

Détaillons la première d'entre elle :

# Employee rule
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT


Ceci signifie que si l'IP source d'un paquet provenant du réseau 10.0.8.0/24 (ce qui s'écrit aussi 10.0.8.0 / 255.255.255.0), soit n'importe quelle IP qui commence par 10.0.8.* et que l'IP destination d'un paquet correspond exactement à 10.66.4.4, alors le paquet est autorisé à passer le pare-feu.

Les deux règles qui suivent sont sur le même principe. À toi d'adapter les IPs et les masques en fonction de ton cas d'utilisation.

Pour plus de détails sur le fonctionnement d'iptables, tu peux regarder dans un terminal ou avec ton moteur de recherche
man iptables
.

Bonne chance
Cette réponse vous a-t-elle aidé ?  
Donnez votre avis
Utile
+1
plus moins
Merci pour ta réponse!!

Les explications ont été utiles.

Je n'avais pas confondu iptables avec la sécurisation du VPN.

C'est la configuration du VPN qui posait, à priori, une difficulté.

En lisant la documentation officielle ,la réponse est donnée.

"Si vous utilisez Linux, BSD, ou un système d' exploitation Unix, vous pouvez améliorer la sécurité en décommettant les nobody et groupe nobody directives."



Cordialement !
Cette réponse vous a-t-elle aidé ?  
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !