[ VPN ] configurer OpenVPN et ROUTAGE Iptables [Résolu/Fermé]

Signaler
Messages postés
198
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
15 juillet 2019
-
tom@
Messages postés
198
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
15 juillet 2019
-
Hello!

Comment sécuriser la connexion VPN ?
La préférence est le routage:

Se basant sur le le site officiel de openvpv ( https://openvpn.net/index.php/open-source/documentation/howto.html#vpntype ) , la doc dit pour iptables deux choses :


This completes the OpenVPN configuration. The final step is to add firewall rules to finalize the access policy. For this example, we will use firewall rules in the Linux iptables syntax:

# Employee rule
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT

# Sysadmin rule
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ACCEPT

# Contractor rule
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ACCEPT




On Linux, you could use a command such as this to NAT the VPN client traffic to the internet:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE



Quelles règles iptables mettre en œuvre ?

Merci de votre attention !!!
Et, de vos réponses ...

2 réponses

Messages postés
29130
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
18 janvier 2020
6744
Bonjour,

Je n'ai pas compris la question.

Pour commencer
iptables
n'a rien à voir avec le routage, c'est un pare-feu.
- Le routage ne tient compte que de l'en-tête que du IP, alors qu'iptables peut tenir compte d'autres informations (notamment les ports, qui sont dans l'en-tête UDP ou TCP)
- De plus le routage à pour but d'associer à un préfixe IP destination une interface de sortie, alors qu'iptables permet d'accepter, jeter ou modifier un paquet vérifiant un certain motif. C'est donc fondamentalement différent.

Le routage n'est en aucun cas une forme de sécurisation, mais un pare-feu oui.

Ensuite l'exemple qu'on te donne constitue des règles
iptables
, qui permettent, en fonction de l'adresse IP source (
-s
) et de l'adresse IP destination du paquet (
-d
), de le laisser circuler ou non. L'interface mise en jeu est
tun0
: celle-ci est crée par
openvpn
une fois la connexion VPN établie.

Détaillons la première d'entre elle :

# Employee rule
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ACCEPT


Ceci signifie que si l'IP source d'un paquet provenant du réseau 10.0.8.0/24 (ce qui s'écrit aussi 10.0.8.0 / 255.255.255.0), soit n'importe quelle IP qui commence par 10.0.8.* et que l'IP destination d'un paquet correspond exactement à 10.66.4.4, alors le paquet est autorisé à passer le pare-feu.

Les deux règles qui suivent sont sur le même principe. À toi d'adapter les IPs et les masques en fonction de ton cas d'utilisation.

Pour plus de détails sur le fonctionnement d'iptables, tu peux regarder dans un terminal ou avec ton moteur de recherche
man iptables
.

Bonne chance
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 81297 internautes nous ont dit merci ce mois-ci

Messages postés
198
Date d'inscription
lundi 21 mars 2005
Statut
Membre
Dernière intervention
15 juillet 2019
32
Merci pour ta réponse!!

Les explications ont été utiles.

Je n'avais pas confondu iptables avec la sécurisation du VPN.

C'est la configuration du VPN qui posait, à priori, une difficulté.

En lisant la documentation officielle ,la réponse est donnée.

"Si vous utilisez Linux, BSD, ou un système d' exploitation Unix, vous pouvez améliorer la sécurité en décommettant les nobody et groupe nobody directives."



Cordialement !
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 81297 internautes nous ont dit merci ce mois-ci