Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

chico · 2014-11-30 14:38:29

metalux · 2014-11-30 19:27:09

Patrick1969 · 2015-09-13 10:34:22

Bonjour .
Chez moi cela coince déjà à l'étape :
2 bloquer le trafic si on est pas connecté au vpn .
Lorsque je démarre le pare feu je n'ai plus aucune connection fonctionnelle .
A partir du moment où j'arrête le pare feu toutes mes connections sont ok .

interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.0.10"
network="192.168.0.0/24"

Dans local ip j'ai bien mis mon adresse ip locale qui est en 192.168.1.....
La où je ne suis pas sûr c'est au niveau du network là j'ai mis :
192.168.1.0/24
Comment savoir si j'ai bien le bon network ?
D'avance merci de vos réponses .
Cordialement , Patrick1969

Dernière modification par Patrick1969 (2015-09-13 11:09:04)

David · 2015-09-13 10:41:41

interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.??"
network="192.168.1.0/24"

Patrick1969 · 2015-09-13 11:08:44

Bonjour David
Oui j'ai bien modifié le script comme énoncé dans votre message .
Je suis bien connecté au vpn mais , dès que j'active le pare-feu pouf ...
plus de connexion . Je coupe le pare-feu et la connexion est à nouveau active .
Pourriez vous m'en dire un peu plus sur le commandes que je devrait entrer dans traceroute pour faire
des tests et poster les résultats pour que nous puissions cerner le ou les problèmes ?
Merci , bien à vous , Patrick1969 smile

David · 2015-09-13 11:16:02

Re ...

Par exemple :

traceroute freedom-ip.com

ou :

traceroute 104.28.18.87

Ou encore vous désactivé le parefeu, vous vous connectez au VPN vous relancez un traceroute et aussitôt activez votre parefeu ...

Vous pouvez aussi nous poster le résultat des commandes :

iptables -nvL

iptables -t nat -nvL

iptables -t mangle -nvL

iptables -t security -nvL

Cordialement, David.

Patrick1969 · 2015-09-13 16:28:40

Voici quelques retours sans connexion au vpn .

root @ spies  ~
└─ # ▶ iptables -nvL
Chain INPUT (policy ACCEPT 17 packets, 897 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 24 packets, 1981 bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶ iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶ iptables -t mangle -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶ iptables -t security -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶

Ou encore vous désactivé le parefeu, vous vous connectez au VPN vous relancez un traceroute et aussitôt activez votre parefeu ,
Voici le résultat .

spies @ spies  ~
└─ $ ▶ sudo -s
[sudo] password for spies: 
root @ spies  ~
└─ # ▶ traceroute freedom-ip.com
traceroute to freedom-ip.com (104.28.18.87), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  33.449 ms  101.359 ms  101.360 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  104.28.18.87 (104.28.18.87)  118.868 ms  41.122 ms  40.571 ms
root @ spies  ~
└─ # ▶

Voyez vous quelque qui pourrait m'orienter vers une solution ?

David · 2015-09-13 17:54:36

Re ...

Votre parefeu était activé lorsque vous avez exécuté les "iptables" !? Car sinon ce n'est pas lui qui bloque !

Cordialement, David.

Patrick1969 · 2015-09-13 21:39:47

Non le pare-feu n'était pas activé .
Voici le résultat avec le pare-feu activé :

 spies @ spies  ~
└─ $ ▶ sudo -s
[sudo] password for spies: 
root @ spies  ~
└─ # ▶ service parefeu start
root @ spies  ~
└─ # ▶ iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    4   522 ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0           
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0           

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.1.0/24      
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 state NEW
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:443 state NEW
    0     0 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0            state NEW

 root @ spies  ~
└─ # ▶ iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 36 packets, 2816 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 12 packets, 1964 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 400 packets, 28598 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 396 packets, 28183 bytes)
 pkts bytes target     prot opt in     out     source               destination

 root @ spies  ~
└─ # ▶ iptables -t mangle -nvL
Chain PREROUTING (policy ACCEPT 3704 packets, 3277K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 3680 packets, 3276K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3701 packets, 436K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 3634 packets, 428K bytes)
 pkts bytes target     prot opt in     out     source               destination

root @ spies  ~
└─ # ▶ iptables -t security -nvL
Chain INPUT (policy ACCEPT 3673 packets, 3276K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3628 packets, 427K bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶

Cordialement , Patrick1969

Dernière modification par Patrick1969 (2015-09-13 21:45:10)

David · 2015-09-13 22:00:41

Re ...

Par défaut tous ce qui sort et qui entre de votre machine est bloqué, sauf les nouvelles requêtes web en sortie et tout ce qui vient de votre intranet (donc votre box).

Ensuite vous autorisez tous les nouvelles requêtes allant vers le VPN mais vous n'autorisez pas ce qui arrive du VPN ... Ajoutez une règle INPUT sur l'interface tun0.

Cordialement, David.

Patrick1969 · 2015-09-13 22:43:23

Re .. smile
Est ce que cela est correct si je le fait ainsi ?

 iptables -A INPUT -i tun0 -j ACCEPT

J'ai fait quelques recherches et trouvé quelqu'un qui avait un problème
presque similaire au mien . Est-ce cela ma solution ? :

 iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Pas évident pour un débutant .
Merci de votre implication , cordialement , Patrick1969 .

Dernière modification par Patrick1969 (2015-09-14 20:13:56)

Patrick1969 · 2015-09-15 08:16:23

 iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Dernière modification par Patrick1969 (2015-09-15 08:33:29)

chico · 2015-09-15 08:44:21

Bonjour,

Vous n'avez rien autorisé en entrée (chaîne INPUT), si ce n'est votre réseau local, donc normal que vous ne puissiez communiquer sur le net.

Cordialement, Chico

Patrick1969 · 2015-09-15 15:14:25

Bonjour , Chico .
Je craque !!!! , j'ai essayé de nombreuse fois en me connectant
sur divers serveurs avec le script modifié à chaque fois mais et ,
bien malheureusement dès que je met le pare-feu en route je perd ma connexion .
Quelle misère !!! iptables n'est surement pas la "chose" la plus facile à gérer
lorsque l'on arrive au pays "linuxland" smile . Je suis au bord du gouffre , la dépression me
guette , les valium sont devenus mon petit déjeuné le xanax mon repas et pour le diner
quelques tranxènes font l'affaire ...... yikes hmm
Je suis sur que tout au fond de vous une petite voix vous dit :
" Allez je vais lui donner la solution , il me fait de la peine le pauvre "
Alors , écoutez cette petite voix intérieur , c'est celle de la raison . big_smile
Cordialement , Patrick1969 wink

Dernière modification par Patrick1969 (2015-09-15 15:15:41)

chico · 2015-09-15 17:35:47

David · 2015-09-15 19:25:20

Bonsoir ...

Pas de bol ... vous êtes tombé sur les 2 sadiques du Forum wink big_smile

Cordialement, David.

PS : désolé pour ces 2 jours un peu absent sur le Forum.

metalux · 2015-09-16 07:13:24

Bonjour à tous,
Alors tu en est où Patrick1969?
Si ça peux te rassurer, j'utilise une distribution Gnu/Linux depuis quelques années et j'ai le même ressenti que toi concernant Iptables.
Un conseil, relis bien les différents posts, la réponse est ici-même wink Mais comme je ne suis pas sadique moi, je viendrai à ta rescousse si tu n'y parviens pas, mais je te laisse chercher encore un peu big_smile
@chico
J'ai relu un peu les règles de ton scripts post #16, quel et l'intérêt de ces lignes:

iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

et de celle-ci

iptables -A INPUT -s be1.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT

J'ai l'impression que la 1ère autorise en entrée via l'interface tun0 et la seconde vers le serveur freedom-ip (belge dans l'exemple, d'ailleurs maintenant c'est be qu'il faut mettre, c'est juste un indice au cas où Patrick1969 serait dans les parages wink ) du coup elles font un peu doublon non? Je n'ai pas testé les 2 cas mais ça fonctionne très bien chez moi sans la 1ère ligne.

David · 2015-09-16 09:28:16

Bonjour ...

La première ligne accepte les paquets déchiffrés provenant de l'interface réseau virtuelle qui sont des réponses à une requête envoyée.
La seconde accepte les paquets chiffrés provenant du serveur be1.freedom-ip.com ...

Elles sont bien différentes.

Cordialement, David.

chico · 2015-09-16 12:17:28

Bonjour,

@metalux, tu lui a donné des infos qui vont l'embrouiller encore plus, cela ne va résoudre qu'une partie de son problème et ça risque de le décourager pour la suite, je crois qu'il faudrait commencer par bien lui préciser l'importance des interfaces réseau dans une règle IPtables big_smile devil

Cordialement

Dernière modification par chico (2015-09-16 12:17:51)

Didier-T · 2015-09-16 14:56:47

Bonjour a tous,
comme je vois que vous jouez les sadiques voici un petit indice pour patrick.
ceci

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

ferme toutes possibilité de connexion sur les ports non défini par de précédente règles.

peut être que modifier sa position dans tes définitions aiderai.

A+,
Didier.

ptit_poulet · 2015-09-16 15:03:19

Didier-T · 2015-09-16 15:11:50

Re,
bah moi je vais y aller, enfin demain wink
j'ai un mal de chien avec ce truc.

A+,
Didier.

grQygz · 2015-09-16 17:38:09

Linux ou l'art des énigmes et autres devinettes....

"C'est comme ça qu'on apprend, mon fils"

devil

Patrick1969 · 2015-09-16 20:25:07

Bonsoir à vous tous . ( Sadiques y compris ) smile
Déjà merci de vos indications qui devraient m'orienter vers la solution à mon problème .
Il est vrai qu'il n'est pas facile du tout pour un novice de directement s'attaquer à iptables !!
Je suis plutôt du genre à vouloir comprendre ce que je fait et je vais persévérer dans ce sens là .
Passez après tant d'années de windows à linux n'est pas évident quand on rentre plus en
profondeur dans le système . Je pourrais me contenter de rester en surface mais trifouiller
dans les entrailles de la "bête" est bien plus intéressant . Si j'avais su , je m'y serais mis
bien avant mais , à force d'écouter les gens et leur fameux préjugés sur linux ......
C'est grâce à freedom ip que j'ai eu le virus , à force de lire les tutos et de voir ces fameux scripts et autres .
Installer un vpn et juste appuyer sur un bouton pour me connecter au serveur n'a rien de bien alléchant ,
c'est tout ce qui gravite autour qui est attrayant . Alors oui , je suis en pleine phase d'apprentissage et
passer par des difficultés ne me rendra que plus fort big_smile .
Ne dit on pas qu'un jour ou l'autre l'élève dépasse le ou les maîtres ? ( encore un message subliminal pour ..... ) lol
En tous les cas merci de votre patience et de votre soutien présent et à venir .
Bien cordialement , Patrick1969. wink

Dernière modification par Patrick1969 (2015-09-16 20:28:53)

Patrick1969 · 2015-09-18 17:29:27

Bonsoir .
Voilà , j'ai progressé un peu . Maintenant j'arrive
à me connecter au vpn avec le pare-feu actif . Par-contre lorsque
je me déconnecte du vpn ma connexion à internet reste toujours active .... cry
Est ce que Messieurs les "sadiques" pourraient me dire si comme j'ai modifié le script
je suis dans le bon sens et me donner une indication vers laquelle me tourner pour
que la connexion se coupe lorsque je ferme la connexion au vpn .
D'avance merci , Patrick1969 .
Voici le script :

#!/bin/sh
### BEGIN INIT INFO
# Provides: chillispot et freeradius dans le chroot
# Required-Start: $local_fs $network
# Required-Stop: $local_fs $remote_fs
# Default-Start:
# Default-Stop:
# Short-Description: Wireless & LAN Access Point Controller
# Description: ChilliSpot is an open source captive portal
# or wireless LAN access point controller.
### END INIT INFO

interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.18"
network="192.168.1.0/24"

start() {

# Dans cette partie, on met en place le firewall
#vidage des chaînes
iptables -F
#destruction des chaînes personnelles
#stratégies par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#on accepte tout le réseau local
iptables -A INPUT -s $network -j ACCEPT
iptables -A OUTPUT -d $network -j ACCEPT
iptables -A FORWARD -s $network -j ACCEPT


# On autorise le PC a faire des pings sur des IP externes et à répondre aux requêtes "ping"
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# On autorise les pings 
iptables -A INPUT -p icmp -j ACCEPT

#on autorise les connexions sortantes sur interfaceWWW pour initialiser les connexion VPN
iptables -A OUTPUT -p TCP --dport 8080 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 80 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 443 -m state --state NEW -o $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes sur le VPN
iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT

}
  
 stop() {

     iptables -P INPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -F
 }
  
 case "$1" in
  start)
         start
         ;;
  
 stop)
         stop
         ;;
 restart)
         stop && sleep 2 && start
         ;;
 *)
         echo "Usage $0 {start|stop|restart}"
         exit 1
 esac
  
 exit 0

Forum Freedom-IP VPN

Annonce

#26 2014-11-30 14:38:29

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#27 2014-11-30 19:27:09

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#28 2015-09-13 10:34:22

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#29 2015-09-13 10:41:41

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#30 2015-09-13 11:08:44

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#31 2015-09-13 11:16:02

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#32 2015-09-13 16:28:40

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#33 2015-09-13 17:54:36

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#34 2015-09-13 21:39:47

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#35 2015-09-13 22:00:41

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#36 2015-09-13 22:43:23

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#37 2015-09-15 08:16:23

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#38 2015-09-15 08:44:21

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#39 2015-09-15 15:14:25

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#40 2015-09-15 17:35:47

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#41 2015-09-15 19:25:20

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#42 2015-09-16 07:13:24

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#43 2015-09-16 09:28:16

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#44 2015-09-16 12:17:28

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#45 2015-09-16 14:56:47

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#46 2015-09-16 15:03:19

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#47 2015-09-16 15:11:50

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#48 2015-09-16 17:38:09

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#49 2015-09-16 20:25:07

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#50 2015-09-18 17:29:27

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Pied de page des forums