Menu

[ VPN ] configurer OpenVPN et ROUTAGE Iptables [Résolu/Fermé]

tom@ 191 Messages postés lundi 21 mars 2005Date d'inscription 31 mars 2018 Dernière intervention - 7 avril 2017 à 22:54 - Dernière réponse : tom@ 191 Messages postés lundi 21 mars 2005Date d'inscription 31 mars 2018 Dernière intervention
- 21 avril 2017 à 23:43
Hello!

Comment sécuriser la connexion VPN ?
La préférence est le routage:

Se basant sur le le site officiel de openvpv ( https://openvpn.net/index.php/open-source/documentation/howto.html#vpntype ) , la doc dit pour iptables deux choses :


This completes the OpenVPN configuration. The final step is to add firewall rules to finalize the access policy. For this example, we will use firewall rules in the Linux iptables syntax:

# Employee rule
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT

# Sysadmin rule
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ACCEPT

# Contractor rule
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ACCEPT




On Linux, you could use a command such as this to NAT the VPN client traffic to the internet:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE



Quelles règles iptables mettre en œuvre ?

Merci de votre attention !!!
Et, de vos réponses ...

Afficher la suite 

2 réponses

mamiemando 28296 Messages postés jeudi 12 mai 2005Date d'inscriptionModérateurStatut 23 avril 2018 Dernière intervention - 13 avril 2017 à 09:21
+1
Utile
Bonjour,

Je n'ai pas compris la question.

Pour commencer
iptables
n'a rien à voir avec le routage, c'est un pare-feu.
- Le routage ne tient compte que de l'en-tête que du IP, alors qu'iptables peut tenir compte d'autres informations (notamment les ports, qui sont dans l'en-tête UDP ou TCP)
- De plus le routage à pour but d'associer à un préfixe IP destination une interface de sortie, alors qu'iptables permet d'accepter, jeter ou modifier un paquet vérifiant un certain motif. C'est donc fondamentalement différent.

Le routage n'est en aucun cas une forme de sécurisation, mais un pare-feu oui.

Ensuite l'exemple qu'on te donne constitue des règles
iptables
, qui permettent, en fonction de l'adresse IP source (
-s
) et de l'adresse IP destination du paquet (
-d
), de le laisser circuler ou non. L'interface mise en jeu est
tun0
: celle-ci est crée par
openvpn
une fois la connexion VPN établie.

Détaillons la première d'entre elle :

# Employee rule
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT


Ceci signifie que si l'IP source d'un paquet provenant du réseau 10.0.8.0/24 (ce qui s'écrit aussi 10.0.8.0 / 255.255.255.0), soit n'importe quelle IP qui commence par 10.0.8.* et que l'IP destination d'un paquet correspond exactement à 10.66.4.4, alors le paquet est autorisé à passer le pare-feu.

Les deux règles qui suivent sont sur le même principe. À toi d'adapter les IPs et les masques en fonction de ton cas d'utilisation.

Pour plus de détails sur le fonctionnement d'iptables, tu peux regarder dans un terminal ou avec ton moteur de recherche
man iptables
.

Bonne chance
Cette réponse vous a-t-elle aidé ?  
tom@ 191 Messages postés lundi 21 mars 2005Date d'inscription 31 mars 2018 Dernière intervention - Modifié par mamiemando le 22/04/2017 à 12:49
+1
Utile
Merci pour ta réponse!!

Les explications ont été utiles.

Je n'avais pas confondu iptables avec la sécurisation du VPN.

C'est la configuration du VPN qui posait, à priori, une difficulté.

En lisant la documentation officielle ,la réponse est donnée.

"Si vous utilisez Linux, BSD, ou un système d' exploitation Unix, vous pouvez améliorer la sécurité en décommettant les nobody et groupe nobody directives."



Cordialement !
Cette réponse vous a-t-elle aidé ?