Forum Freedom-IP

Forum d'entraide de la communauté Freedom-IP

Vous n'êtes pas identifié(e).

#26 2014-11-30 14:38:29

chico
l'Axe du bien
Inscription : 2014-05-03
Messages : 695

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

metalux a écrit :

Bonjour,
Pour les DNS, c'est en laissant le port 443 fermé, voilà pourquoi je trouve ça étrange. Je n'ai utilisé que la fonction ping du script de Didier-T pour tester.
Pour l'erreur: Syntax error: "(" unexpected (expecting "}")
En bash, la boucle fonctionne correctement.

Ah c'est une erreur au niveau du script, pas des règles, ça serait bien si tu pouvait poster ton script en entier histoire de voir pour les DNS.

Pour permettre l'accès à l'API de freedomip, j'ai ajouté ces règles:
iptables -A INPUT -s freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Comme ça tout fonctionne, tout est bloqué y compris HTTPS sauf le site freedomip et tous les services associés ce qui permet au script de Didier-T de fonctionner même en sélectionnant "occupation" ou "bande passante".
Chico, je n'ai fais qu'un copier/coller de tes règles en modifiant les serveurs VPN par l'adresse freedom-ip.com, est-ce correct de procéder ainsi?

Oui c'est très correct, tu autorises l'envoi et la réception de paquets vers et depuis le domaine Freedom-IP.


U Play...U Pay

Hors ligne

#27 2014-11-30 19:27:09

metalux
Membre
Inscription : 2014-10-30
Messages : 72

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Pour le script en entier, je l'ai posté ici

Hors ligne

#28 2015-09-13 10:34:22

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour .
Chez moi cela coince déjà à l'étape :
2 bloquer le trafic si on est pas connecté au vpn .
Lorsque je démarre le pare feu je n'ai plus aucune connection fonctionnelle .
A partir du moment où j'arrête le pare feu toutes mes connections sont ok .

interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.0.10"
network="192.168.0.0/24"

             
Dans local ip j'ai bien mis mon adresse ip locale qui est en 192.168.1.....
La où je ne suis pas sûr c'est au niveau du network là j'ai mis :
192.168.1.0/24                                                                 
Comment savoir si j'ai bien le bon network ?
D'avance merci de vos réponses .
Cordialement , Patrick1969

Dernière modification par Patrick1969 (2015-09-13 11:09:04)


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#29 2015-09-13 10:41:41

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 063

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour ...

Vous avez donc modifié le script avec les lignes :

interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.??"
network="192.168.1.0/24"

Si c'est cela, ça devrait fonctionner ...

Vous pouvez aussi tester avec des commandes "ping <site>" ou "ping <IP site>" ou les mêmes avec "traceroute" pour voir si ça sort et où ça bloque.

Cordialement, David.


C.G.U.                Règles                Wiki

Hors ligne

#30 2015-09-13 11:08:44

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour David
Oui j'ai bien modifié le script comme énoncé dans votre message .
Je suis bien connecté au vpn mais , dès que j'active le pare-feu pouf ...
plus de connexion . Je coupe le pare-feu et la connexion est à nouveau active .
Pourriez vous m'en dire un peu plus sur le commandes que je devrait entrer dans traceroute pour faire
des tests et poster les résultats pour que nous puissions cerner le ou les problèmes ?
Merci , bien à vous , Patrick1969 smile


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#31 2015-09-13 11:16:02

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 063

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Re ...

Par exemple :

traceroute freedom-ip.com

ou :

traceroute 104.28.18.87

Ou encore vous désactivé le parefeu, vous vous connectez au VPN vous relancez un traceroute et aussitôt activez votre parefeu ...

Vous pouvez aussi nous poster le résultat des commandes :

iptables -nvL
iptables -t nat -nvL
iptables -t mangle -nvL
iptables -t security -nvL

Cordialement, David.


C.G.U.                Règles                Wiki

Hors ligne

#32 2015-09-13 16:28:40

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Voici quelques retours sans connexion au vpn .

root @ spies  ~
└─ # ▶ iptables -nvL
Chain INPUT (policy ACCEPT 17 packets, 897 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 24 packets, 1981 bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶ iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶ iptables -t mangle -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶ iptables -t security -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶ 

Ou encore vous désactivé le parefeu, vous vous connectez au VPN vous relancez un traceroute et aussitôt activez votre parefeu ,
Voici le résultat .

spies @ spies  ~
└─ $ ▶ sudo -s
[sudo] password for spies: 
root @ spies  ~
└─ # ▶ traceroute freedom-ip.com
traceroute to freedom-ip.com (104.28.18.87), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  33.449 ms  101.359 ms  101.360 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  104.28.18.87 (104.28.18.87)  118.868 ms  41.122 ms  40.571 ms
root @ spies  ~
└─ # ▶ 

Voyez vous quelque qui pourrait m'orienter vers une solution ?


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#33 2015-09-13 17:54:36

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 063

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Re ...

Votre parefeu était activé lorsque vous avez exécuté les "iptables"  !? Car sinon ce n'est pas lui qui bloque !

Cordialement, David.


C.G.U.                Règles                Wiki

Hors ligne

#34 2015-09-13 21:39:47

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Non le pare-feu n'était pas activé .
Voici le résultat avec le pare-feu activé :

 spies @ spies  ~
└─ $ ▶ sudo -s
[sudo] password for spies: 
root @ spies  ~
└─ # ▶ service parefeu start
root @ spies  ~
└─ # ▶ iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    4   522 ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0           
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       192.168.1.0/24       0.0.0.0/0           

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.1.0/24      
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:8080 state NEW
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            tcp dpt:443 state NEW
    0     0 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0            state NEW
  


 root @ spies  ~
└─ # ▶ iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 36 packets, 2816 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 12 packets, 1964 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 400 packets, 28598 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 396 packets, 28183 bytes)
 pkts bytes target     prot opt in     out     source               destination  

 root @ spies  ~
└─ # ▶ iptables -t mangle -nvL
Chain PREROUTING (policy ACCEPT 3704 packets, 3277K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 3680 packets, 3276K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3701 packets, 436K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 3634 packets, 428K bytes)
 pkts bytes target     prot opt in     out     source               destination     

root @ spies  ~
└─ # ▶ iptables -t security -nvL
Chain INPUT (policy ACCEPT 3673 packets, 3276K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 3628 packets, 427K bytes)
 pkts bytes target     prot opt in     out     source               destination         
root @ spies  ~
└─ # ▶ 
  

Cordialement , Patrick1969

Dernière modification par Patrick1969 (2015-09-13 21:45:10)


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#35 2015-09-13 22:00:41

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 063

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Re ...

Par défaut tous ce qui sort et qui entre de votre machine est bloqué, sauf les nouvelles requêtes web en sortie et tout ce qui vient de votre intranet (donc votre box).

Ensuite vous autorisez tous les nouvelles requêtes allant vers le VPN mais vous n'autorisez pas ce qui arrive du VPN ... Ajoutez une règle INPUT sur l'interface tun0.

Cordialement, David.


C.G.U.                Règles                Wiki

Hors ligne

#36 2015-09-13 22:43:23

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Re .. smile
Est ce que cela est correct si je le fait ainsi ?

 iptables -A INPUT -i tun0 -j ACCEPT  

J'ai fait quelques recherches et trouvé quelqu'un qui avait un problème
presque similaire au mien . Est-ce cela ma solution ? :

 iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 

Pas évident pour un débutant .
Merci de votre implication , cordialement , Patrick1969 .

Dernière modification par Patrick1969 (2015-09-14 20:13:56)


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#37 2015-09-15 08:16:23

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour .
Bah , je me suis lancé ....  smile
J'ai donc ajouté ces 3 lignes :

 iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE  

dans
le script ainsi :

   #!/bin/sh
### BEGIN INIT INFO
# Provides: chillispot et freeradius dans le chroot
# Required-Start: $local_fs $network
# Required-Stop: $local_fs $remote_fs
# Default-Start:
# Default-Stop:
# Short-Description: Wireless & LAN Access Point Controller
# Description: ChilliSpot is an open source captive portal
# or wireless LAN access point controller.
### END INIT INFO

interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.18"
network="192.168.1.0/24"

start() {

# Dans cette partie, on met en place le firewall
#vidage des chaînes
iptables -F
#destruction des chaînes personnelles
#stratégies par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#on accepte tout le réseau local
iptables -A INPUT -s $network -j ACCEPT
iptables -A OUTPUT -d $network -j ACCEPT
iptables -A FORWARD -s $network -j ACCEPT 

# On autorise le PC a faire des pings sur des IP externes et à répondre aux requêtes "ping"
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# On autorise les pings 
iptables -A INPUT -p icmp -j ACCEPT

#on autorise les connexions sortantes sur interfaceWWW pour initialiser les connexion VPN
iptables -A OUTPUT -p TCP --dport 8080 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 80 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 443 -m state --state NEW -o $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes sur le VPN
iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT

}
  
 stop() {

     iptables -P INPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -F
 }
  
 case "$1" in
  start)
         start
         ;;
  
 stop)
         stop
         ;;
 restart)
         stop && sleep 2 && start
         ;;
 *)
         echo "Usage $0 {start|stop|restart}"
         exit 1
 esac
  
 exit 0 

Démarré le pare-feu mais toujours pareil , la connexion vers internet se ferme .  cry
Je continue mes investigations mais , le petit Jedi que je suis ne perd pas espoir qu'un
grand maitre Yoda   [ petit message subliminal pour David ] pointe du doigt ce qui ne va pas .  big_smile
Passez une agréable journée , cordialement , Patrick1969

Dernière modification par Patrick1969 (2015-09-15 08:33:29)


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#38 2015-09-15 08:44:21

chico
l'Axe du bien
Inscription : 2014-05-03
Messages : 695

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour,

Vous n'avez rien autorisé en entrée (chaîne INPUT), si ce n'est votre réseau local, donc normal que vous ne puissiez communiquer sur le net.

Cordialement, Chico


U Play...U Pay

Hors ligne

#39 2015-09-15 15:14:25

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour , Chico .
Je craque !!!! , j'ai essayé de nombreuse fois  en me connectant
sur divers serveurs avec le script modifié à chaque fois mais et ,
bien malheureusement dès que je met le pare-feu en route je perd ma connexion .
Quelle misère !!! iptables n'est surement pas la "chose" la plus facile à gérer
lorsque l'on arrive au pays "linuxland" smile . Je suis au bord du gouffre , la dépression  me
guette , les valium sont devenus mon petit déjeuné le xanax mon repas et pour le diner
quelques tranxènes font l'affaire ......  yikes  hmm
Je suis sur que tout au fond de vous une petite voix vous dit :
" Allez je vais lui donner la solution , il me fait de la peine le pauvre "
Alors , écoutez cette petite voix intérieur , c'est celle de la raison . big_smile
Cordialement , Patrick1969 wink

Dernière modification par Patrick1969 (2015-09-15 15:15:41)


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#40 2015-09-15 17:35:47

chico
l'Axe du bien
Inscription : 2014-05-03
Messages : 695

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

David vous a expliqué d'où venait votre problème

David a écrit :

vous autorisez tous les nouvelles requêtes allant vers le VPN mais vous n'autorisez pas ce qui arrive du VPN

Puis je vous ai donné une indication plus précise quant à cette mauvaise configuration

chico a écrit :

Vous n'avez rien autorisé en entrée (chaîne INPUT), si ce n'est votre réseau local

Je sais que vous aimeriez bien que l'on vous donne la/les règle(s) adéquate(s), mais ce n'est vraiment pas la meilleure manière d'apprendre, car cela ne vous aiderait pas à tirer bénéfice de vos erreurs wink

Non, je ne suis pas sadique  devil

Cordialement


U Play...U Pay

Hors ligne

#41 2015-09-15 19:25:20

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 063

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonsoir ...

Pas de bol ... vous êtes tombé sur les 2 sadiques du Forum wink big_smile big_smile

Cordialement, David.

PS : désolé pour ces 2 jours un peu absent sur le Forum.


C.G.U.                Règles                Wiki

Hors ligne

#42 2015-09-16 07:13:24

metalux
Membre
Inscription : 2014-10-30
Messages : 72

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour à tous,
Alors tu en est où Patrick1969?
Si ça peux te rassurer, j'utilise une distribution Gnu/Linux depuis quelques années et j'ai le même ressenti que toi concernant Iptables.
Un conseil, relis bien les différents posts, la réponse est ici-même  wink  Mais comme je ne suis pas sadique moi, je viendrai à ta rescousse si tu n'y parviens pas, mais je te laisse chercher encore un peu  big_smile
@chico
J'ai relu un peu les règles de ton scripts post #16, quel et l'intérêt de ces lignes:

iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

et de celle-ci

iptables -A INPUT -s be1.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT

J'ai l'impression que la 1ère autorise en entrée via l'interface tun0 et la seconde vers le serveur freedom-ip (belge dans l'exemple, d'ailleurs maintenant c'est be qu'il faut mettre, c'est juste un indice au cas où Patrick1969 serait dans les parages  wink ) du coup elles font un peu doublon non? Je n'ai pas testé les 2 cas mais ça fonctionne très bien chez moi sans la 1ère ligne.

Hors ligne

#43 2015-09-16 09:28:16

David
Bof !!!
Inscription : 2012-01-30
Messages : 6 063

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour ...

La première ligne accepte les paquets déchiffrés provenant de l'interface réseau virtuelle qui sont des réponses à une requête envoyée.
La seconde accepte les paquets chiffrés provenant du serveur be1.freedom-ip.com ...

Elles sont bien différentes.

Cordialement, David.


C.G.U.                Règles                Wiki

Hors ligne

#44 2015-09-16 12:17:28

chico
l'Axe du bien
Inscription : 2014-05-03
Messages : 695

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour,

@metalux, tu lui a donné des infos qui vont l'embrouiller encore plus, cela ne va résoudre qu'une partie de son problème et ça risque de le décourager pour la suite, je crois qu'il faudrait commencer par bien lui préciser l'importance des interfaces réseau dans une règle IPtables  big_smile  devil

Cordialement

Dernière modification par chico (2015-09-16 12:17:51)


U Play...U Pay

Hors ligne

#45 2015-09-16 14:56:47

Didier-T
Contributeurs Confirmés
Lieu : Argenteuil
Inscription : 2014-02-01
Messages : 323

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour a tous,
comme je vois que vous jouez les sadiques voici un petit indice pour patrick.
ceci

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

ferme toutes possibilité de connexion sur les ports non défini par de précédente règles.

peut être que modifier sa position dans tes définitions aiderai.

A+,
Didier.

Hors ligne

#46 2015-09-16 15:03:19

ptit_poulet
Community Manager & Chef du support technique
Inscription : 2012-08-31
Messages : 3 064

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonjour,

Sinon je t'invite à te rendre chez ton marchand de journaux préféré et y prendre le numéro de Linux Pratique de ce mois-ci tu y trouveras un dossier complet sur le routage et le firewall big_smile

Cordialement. ptit_poulet


J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer devil

Hors ligne

#47 2015-09-16 15:11:50

Didier-T
Contributeurs Confirmés
Lieu : Argenteuil
Inscription : 2014-02-01
Messages : 323

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Re,
bah moi je vais y aller, enfin demain wink
j'ai un mal de chien avec ce truc.

A+,
Didier.

Hors ligne

#48 2015-09-16 17:38:09

grQygz
Membre
Inscription : 2013-03-20
Messages : 134

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Linux ou l'art des énigmes et autres devinettes....

"C'est comme ça qu'on apprend, mon fils"


devil

Hors ligne

#49 2015-09-16 20:25:07

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonsoir à vous tous . ( Sadiques y compris ) smile
Déjà merci de vos indications qui devraient m'orienter vers la solution à mon problème .
Il est vrai qu'il n'est pas facile du tout pour un novice de directement s'attaquer à iptables !!
Je suis plutôt du genre à vouloir comprendre ce que je fait et je vais persévérer dans ce sens là .
Passez après tant d'années de windows à linux n'est pas évident quand on rentre plus en
profondeur dans le système . Je pourrais me contenter de rester en surface mais trifouiller
dans les entrailles de la "bête" est bien plus intéressant . Si j'avais su , je m'y serais mis
bien avant mais , à force d'écouter les gens et leur fameux préjugés sur linux ......
C'est grâce à freedom ip que j'ai eu le virus , à force de lire les tutos et de voir ces fameux scripts et autres .
Installer un vpn et juste appuyer sur un bouton pour me connecter au serveur n'a rien de bien alléchant ,
c'est tout ce qui gravite autour qui est attrayant .  Alors oui , je suis en pleine  phase d'apprentissage et
passer par des difficultés ne me rendra que plus fort big_smile .
Ne dit on pas qu'un jour ou l'autre l'élève dépasse le ou les maîtres ?  ( encore un message subliminal pour ..... ) lol
En tous les cas merci de votre patience et de votre soutien présent et à venir .
Bien cordialement , Patrick1969. wink

Dernière modification par Patrick1969 (2015-09-16 20:28:53)


L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

#50 2015-09-18 17:29:27

Patrick1969
Membre
Inscription : 2015-01-23
Messages : 283

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Bonsoir .
Voilà , j'ai progressé un peu . Maintenant j'arrive
à me connecter au vpn avec le pare-feu actif . Par-contre lorsque
je me déconnecte du vpn ma connexion à internet reste toujours active ....  cry
Est ce que Messieurs les "sadiques" pourraient me dire si comme j'ai modifié le script
je suis dans le bon sens et me donner une indication vers laquelle me tourner pour
que la connexion se coupe lorsque je ferme la connexion au vpn .
D'avance merci , Patrick1969 .
Voici le script :

#!/bin/sh
### BEGIN INIT INFO
# Provides: chillispot et freeradius dans le chroot
# Required-Start: $local_fs $network
# Required-Stop: $local_fs $remote_fs
# Default-Start:
# Default-Stop:
# Short-Description: Wireless & LAN Access Point Controller
# Description: ChilliSpot is an open source captive portal
# or wireless LAN access point controller.
### END INIT INFO

interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.18"
network="192.168.1.0/24"

start() {

# Dans cette partie, on met en place le firewall
#vidage des chaînes
iptables -F
#destruction des chaînes personnelles
#stratégies par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i tun0 -j ACCEPT
iptables -A OUTPUT -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#on accepte tout le réseau local
iptables -A INPUT -s $network -j ACCEPT
iptables -A OUTPUT -d $network -j ACCEPT
iptables -A FORWARD -s $network -j ACCEPT


# On autorise le PC a faire des pings sur des IP externes et à répondre aux requêtes "ping"
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# On autorise les pings 
iptables -A INPUT -p icmp -j ACCEPT

#on autorise les connexions sortantes sur interfaceWWW pour initialiser les connexion VPN
iptables -A OUTPUT -p TCP --dport 8080 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 80 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 443 -m state --state NEW -o $interfaceWWW -j ACCEPT

#on autorise les connexions sortantes sur le VPN
iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT

}
  
 stop() {

     iptables -P INPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -F
 }
  
 case "$1" in
  start)
         start
         ;;
  
 stop)
         stop
         ;;
 restart)
         stop && sleep 2 && start
         ;;
 *)
         echo "Usage $0 {start|stop|restart}"
         exit 1
 esac
  
 exit 0
    

L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .

Hors ligne

Pied de page des forums