Forum d'entraide de la communauté Freedom-IP VPN
Vous n'êtes pas identifié(e).
Bonjour,
Bon bah, on va devoir continuer d'être sadique
Toutes les autres règles après celles-ci sont inutiles:
#stratégies par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Suite à ces règles tout est autorisé, il est donc inutile d'ajouter d'autres règles avec pour stratégie ACCEPT puisque tout est déjà autorisé, après ce genre de stratégies de polices, les seules règles pouvant être utiles sont du type DROP ou REJECT.
Une grosse indication: on bloque tout et on autorise ce dont on a besoin pour chacune des interfaces réseau
Je tiens à vous rappeler que toutes les règles dont vous avez besoin sont sur ce topic
Cordialement
U Play...U Pay
Hors ligne
Bonsoir Chico .
Merci de vos informations .
Pour l'instant j'ai laissé tomber le script à Ljere et l'ai
remplacé par le votre :
https://freedom-ip.com/forum/viewtopic.php?id=3823 #16 .
J'ai naturellement modifié le #FIP BE1 par les nouveaux fichiers de configuration . (#FIP BE )
Je l'ai rendu exécutable ainsi : sudo chmod +x /etc/init.d/parefeu puis ,
Démarré le pare-feu .
Effectivement tant que je ne suis pas connecté au vpn je n'accède pas à internet et lorsque
je me déconnecte du vpn la connection internet se coupe .
Mon problème est le suivant lorsque je désactive le pare feu par : sudo service parefeu stop ,
rien ne change je dois me connecter au vpn pour accéder à internet . Du coup je ne peux plus
accéder à internet sans être connecté au vpn même après un redémarrage du pc .
De plus ripe network ne me fourni plus mon ip , j'ai pour seul message Your IP address is: not available .
Auriez vous une petite idée de la faute ou les fautes que j'ai pu commettre ?
D'avance merci , cordialement , Patrick1969
Dernière modification par Patrick1969 (2015-09-22 19:02:16)
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Bonsoir tout le monde ,
Patrick1969
sudo iptables -L
doit te donner ce résultat par défaut (sans le parefeu VPN) si tu n'as rien modifié dans tes règles iptables de base.
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destination
Si tu pouvais poster ton script en entier afin de voir l'erreur. Celui de chico fonctionne parfaitement en le mettant dans la fonction start() et il faut lui ajouter à la fin la fonction stop() qui remet les règles par défaut, sans oublier la boucle case/esac qui gère le paramètre passé au script (start-stop-restart). Je doute que tu ais omis ou mal ajouté la fonction stop.
Hors ligne
Bonsoir Metalux .
Voici ce que me donne le résultat iptables -L sans connexion au vpn :
spies @ spies ~
└─ $ ▶ sudo iptables -L
[sudo] password for spies:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.1.0/24 anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- localhost anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- 136.103.196.5.rev.fip-services.hk anywhere state RELATED,ESTABLISHED
ACCEPT all -- 196.190.23.94.rev.fip-services.hk anywhere state RELATED,ESTABLISHED
ACCEPT all -- 116.186.196.5.rev.fip-services.hk anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere 192.168.1.0/24
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere localhost
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT all -- anywhere 136.103.196.5.rev.fip-services.hk state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere 196.190.23.94.rev.fip-services.hk state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere 116.186.196.5.rev.fip-services.hk state NEW,RELATED,ESTABLISHED
spies @ spies ~
└─ $ ▶
Quant au script , j'ai supprimé le contenu de celui à Ljere et remplacé par celui à Chico . ( simple copié / collé )
#!/bin/sh
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#FIP CH
iptables -A INPUT -s ch.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d ch.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#FIP AT
iptables -A INPUT -s at.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d at.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#FIP BE
iptables -A INPUT -s be.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d be.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
puis :
sudo chmod +x /etc/init.d/parefeu
et pour finir
sudo service parefeu start
A savoir que cela fonctionne bien , tant que je ne suis pas connecté au vpn je n'ai pas accès à internet .
Et , dès que je ne suis plus connecté au vpn plus d'accès à internet .
Peut-être ai je mal compris le principe mais lorsque je stop le pare-feu je devrai pouvoir me connecter
à internet mais avec mon ip publique non ?
D'avance merci , cordialement , Patrick1969
Dernière modification par Patrick1969 (2015-09-22 22:31:21)
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Oui, effectivement tu as mal compris le principe de fonctionnement d'un script.
Comme tu vois, tes règles sont sur DROP , donc tout est bloqué hormis ce que tu as accepté, soit entre autres, l'accès aux serveurs CH, AT et BE. Donc c'est normal que tu n'as plus accès à internet.
Les règles devraient être sur ACCEPT lorsque tu n'est pas connecté au VPN.
Pour le script, il s'agit en réalité de 2 fonctions, l'une qui s'appelle start dans laquelle tu places le script de chico et l'autre qui s'appelle stop qui te remet les règles sur ACCEPT.
L'argument start ou stop est lu dans le script avec cette ligne:
case "$1" in.....
Le $1 correspond au 1er argument passé au script soit ici start ou stop car tu lances le script suivi d'un seul argument. Pour la petite histoire, si il y avait 2 arguments, le 2ème serait $2,etc...pas besoin de retenir ça ici mais ça pourra toujours te servir de comprendre le fonctionnement.
Donc ton script doit se présenter comme ceci:
#!/bin/sh
start() {
#Tu colles ici le script de chico, je te laisse le faire.
# et on finit par l'accolade comme ci-dessous pour fermer la fonction start
}
#Maintenant tu crées la fonction stop
stop() {
#Tu remets les règles par défaut si $1=stop.
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
}
#Puis ici tu fais une boucle qui teste si tu passes l'argument start alors tu lances la fonction start (le script de chico) ou si il s'agit de stop, tu lances la fonction stop.
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop && sleep 2 && start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esac
exit 0
Je t'ai mis des commentaires, lorsque la ligne est précédé d'un dièse #, elle n'est pas prise en compte dans le script, donc pas de souci si tu veux les laisser.
Pour info, voici la boucle du post #23 adapté à la version actuelle de freedom-ip. Celle postée ici n'est plus fonctionnelle, l'API de freedom-ip n'étant plus disponible d'après ce que j'ai compris.
serveurs=( at be bg ca ch cz de dk ee es fi fr gr hr ie is it lt lu lv mt nl no pl pt ro ru se si ua uk us )
for servfreedom in ${serveurs[@]};do
iptables -A INPUT -s $servfreedom.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d $servfreedom.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
done
Cette boucle donnera accès à tous les serveurs freedom-ip. Si il y a des nouveaux dans le futur, tu auras juste à les ajouter dans la ligne serveurs=(at be....). Ca t'évitera de devoir écrire les règles pour chaque serveur auquel tu souhaites te connecter.
Hors ligne
Bonjour metalux .
Bah , effectivement je n'ai rien compris du tout au fonctionnement
d'un script . Cela commence un peu à s'éclairer dans mon esprit grâce à
vos explications . Comme je l'ai déjà dit , c'est pas évident de se lancer
dans un monde jusqu'à présent inconnu . Pourriez vous me dire si le script
est juste comme cela :
#!/bin/sh
start() {
#Tu colles ici le script de chico, je te laisse le faire.
# et on finit par l'accolade comme ci-dessous pour fermer la fonction start
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
serveurs=( at be bg ca ch cz de dk ee es fi fr gr hr ie is it lt lu lv mt nl no pl pt ro ru se si ua uk us )
for servfreedom in ${serveurs[@]};do
iptables -A INPUT -s $servfreedom.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d $servfreedom.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
done
}
#Maintenant tu crées la fonction stop
stop() {
#Tu remets les règles par défaut si $1=stop.
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
}
#Puis ici tu fais une boucle qui teste si tu passes l'argument start alors tu lances la fonction start (le script de chico) ou si il s'agit de stop, tu lances la fonction stop.
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop && sleep 2 && start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esac
exit 0
Un grand merci à vous de votre aide et votre implication .
Je vous souhaite une bonne journée .
Bien cordialement , Patrick1969 .
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Bonsoir Patrick1969,
Oui, cela me parait correct, en même temps j'avais déjà bien mâché le travail
Le meilleur moyen de savoir si il fonctionne est de le tester.
Cordialement.
Hors ligne
Bonjour metalux.
Je viens de tester , voici le résultat :
sudo service parefeu start
/etc/init.d/parefeu: 35: /etc/init.d/parefeu: Syntax error: "(" unexpected (expecting "}")
Puis je encore vous demander votre aide sans vouloir abuser .
Merci , cordialement , Patrick1969
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Bonjour Patrick1969,
à mon tour d'être sadique, relis bien les messages, il y a la réponse ici-même
Si tu ne trouves pas, je t'indiquerai ou regarder en priorité mais pas avant que tu as recherché un peu
Sinon juste une remarque, je t'ai tutoyé, j'espère que tu n'y vois pas d'inconvénients, et le cas échéant, autant t'exprimer de la même façon lorsque tu t'adresses à moi. Si tu préfères autrement, n'hésite pas à me le dire, j'en tiendrai compte dans les futurs messages.
Bonne soirée.
Hors ligne
Bonjour metalux .
Je vois , j'ai donc affaire à 3 "sadiques " ! , "Riri , Fifi et loulou " .
Terrible comme genre de situation ...
Mais c'est vrai , il faut le dire , vous l'êtes un peu moins que David et que Chico
pour ne pas les citer.
Je vais donc passer à la relecture des divers post et j'espère être
assez lucide pour y trouver la solution . Enfin si vous passez par ici
totalement par hazard , vous pouvez toujours me donner le numéro du post
sur lequel il faudrait que je m'attarde ... ( This is a joke )
Ne dit on pas que l'espoir fait vivre les imbéciles ?
Pour ma part , je n'ai aucun souci en ce qui concerne le tutoiement , soyons fou ,
tutoyons nous
Je te souhaite à toi ainsi qu'aux autres sadiques une bien belle journée .
Cordialement , Patrick1969 .
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Bonjour,
Qui aime bien, châtie bien, comme dit le dicton
U Play...U Pay
Hors ligne
Bonjour a tous,
Ça ressemble à une chasse au dahu votre histoire
Hors ligne
Bonsoir à tous .
Là , j'suis au bord de la dépression ....
J'ai lu , " relu " , " rerelu " tous les posts et pourtant je ne trouve pas
ce qui devrait apparemment me sauter aux yeux .
J'ai fait des recherches sur le " net " avec l'erreur qui m'est donnée mais
cela ne m'avance guère . J'ai vu qu'il fallait parfois rajouter un slash ou
un anti-slash à cause de certains guillemets . Alors j'en ai mis , j'en ai enlevé ......
J'ai même eu des erreurs supplémentaires dans certains cas ...
Alors Messieurs les " sadiques " au cas où une once d'humanité venait
à faire surface lorsque vous lirez ce message ne vous gênez pas , laissez
parler votre coeur .
Vous aurez fait une bonne action et vous serez en paix avec votre conscience.
Je vous souhaite une bonne soirée , cordialement , Patrick1969 .
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Bonsoir ...
Vers quel Shell pointe le fichier /bin/sh !?
En fonction du Shell (Dash, Bash, Csh, ...) les syntaxes diffèrent pour travailler avec les tableaux ... Ce qui est votre cas lorsque la ligne "for servfreedom" itère les entrées du tableau "serveurs".
Cordialement, David.
Hors ligne
Bonsoir,
David n'est donc pas si sadique que ça , j'me sent seul maintenant
U Play...U Pay
Hors ligne
Bonsoir,
Nan t'inquiète je suis là aussi
J'aime bien troller David toute la journée pour l’empêcher de s'ennuyer
Hors ligne
Bonjour à tous , bonjour David :)
J'ai enfin trouvé grâce à votre indice . C'est sûrement ce post ci-dessous
qui aurait dû me sauter en pleine figure .
https://freedom-ip.com/forum/viewtopic. … 004#p46004
J'aurais encore pu modifier le script avec un nombre incommensurable
de slash et autre que cela ni aurait rien changé .
Ce qui veut dire que malgré que la première ligne est précédé d'un # elle est quand même prise en compte ,
j'ai pourtant lu que précédé d'un # la ligne ne comptait pas . Un script doit-il toujours commencer ainsi ?
Du coup , vous devenez mon modérateur préféré .... :D
( je ne sais pas trop si c'est une bonne chose pour vous ) ;)
Je tenais quand même à remercier metalux qui m'a bien
mâché le travail et fourni un complément d'information sur le principe
de fonctionnement d'un script .
Merci à chico pour ses sadiques indications , genre je vous en dit un peu mais ,
pas trop . :)
Merci à ptit_poulet de m'avoir envoyé voir le marchand de journaux . :p
Et pour finir , merci à vous David de l'indication finale pour enfin arriver
à faire fonctionner ce script . D'ailleurs si un jour je peux vous rendre
la pareille , pas d'hésitation ( this is a joke ) :lol:
Je vous souhaite une bonne soirée , bien cordialement , Patrick1969 .
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Hors ligne
Bonjour,
Ça y est, elle est finie la chasse au dahu?
C'était bien ce post ou bien un petit Ctrl+F pour lancer une recherche sur la page et tu collais ton erreur: Syntax error: "(" unexpected (expecting "}") t'aurais amené directement à celui-ci.
Tu peux y lire:
Pour l'erreur: Syntax error: "(" unexpected (expecting "}")
En bash, la boucle fonctionne correctement.
Donc il fallait remplacer sh par bash.
sh sur ubuntu et ses dérivés comme Voyager pointe en réalité vers Dash et non Bash et il y a des petites subtilités de ce style. Je t'avoue ne jamais m'être trop préoccupé de cela et je précise bien explicitement #!/bin/bash au début de mes scripts pour éviter ce genre de mésaventure. Mais là ça ne pas sauté aux yeux quand tu m'a demandé si tout était correct. J'espère que même si tu n'as pas trouvé directement, tes recherches n'auront pas été vaines et t'auront appris pleins de choses...et certainement à te poser encore pleins de questions. C'est comme tu dis un nouveau monde qui s'ouvre à toi.
Hors ligne
Bonjour à tous .
Voilà , j'ai installé le script de reconnexion automatique en
suivant scrupuleusement la procédure décrite dans le tutoriel .
Pour voir si le script était fonctionnel j'ai débranché mon câble réseau
et l'ai rebranché . Mais là , pas de reconnexion automatique au vpn
que j'ai choisi dans le script . Et pas de connexion au réseau car le pare-feu est activé .
Je n'ai eu d'autre choix que de me reconnecter manuellement au vpn pour récupérer
un connexion active .
J'ai également modifié le script comme décrit dans le lien ci dessous
https://freedom-ip.com/forum/viewtopic. … 997#p45997
mais , cela ne change rien , pas de reconnexion automatique .
Quelqu'un aurait-il ce script d'installé et fonctionnel ? , si oui ,
peut-être une petite idée d'où pourrait venir le problème , ou un
chemin vers lequel m'orienter pour le rendre fonctionnel .
D'avance merci , cordialement , Patrick1969 .
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Bonjour,
...Et pas de connexion au réseau car le pare-feu est activé...
Le pare-feu normalement configuré ne devrait pas vous interdire la connexion à votre routeur
Cordialement
U Play...U Pay
Hors ligne
Bonjour chico .
Avec ce script tu peux communiquer sur internet uniquement via l'interface tun0, bien sûr ton interface wifi ou ethernet continue d'accéder au net mais uniquement sur les serveurs FIP, si le VPN se déconnecte tu ne peux normalement plus accéder à internet, si tu veux surfer avec ton IP publique tu devras désactiver iptables,
A partir du moment où je me déconnecte du vpn je n'ai plus accès au réseau ,
ce qui parait être normal . Pour arriver à accéder au réseau sans connexion au vpn
je suis obligé d'arrêter le pare-feu . C'est bien cela le principe de base ou-bien n'ai
je absolument rien compris au principe ?
Si par-contre , j'ai bien compris à partir du moment que le vpn se coupe , le script de reconnexion
automatique devrait prendre le relais non ?
Merci d'avance de votre réponse , cordialement , Patrick1969 .
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Ne pas confondre réseau et internet
Cordialement
U Play...U Pay
Hors ligne
Hum , je vois ... Je me suis mal exprimé .
Votre sadisme revient au galop , reformulons correctement .
Lorsque je débranche le RJ45 de mon unité centrale et que je le rebranche ,
mon réseau est bien présent mais je n'accède pas à internet . Situation qui est normale
car le pare-feu est en fonction et que je ne suis plus connecté au vpn . Ce qui prouve également
que VOTRE script est top opérationnel .
Il me faut couper le pare-feu pour pouvoir avoir accès à internet et donc du coup je navigue
avec mon ip publique .
Le problème est que lorsque le réseau revient une fois que mon câble RJ45 est rebranché , la reconnexion
automatique au vpn sélectionné dans le script ne se fait pas et donc , pas d'accès à internet sans une connexion
manuelle au vpn .
Auriez vous une idée de ce qui bloque le bon fonctionnement du script de reconnexion automatique ?
D'avance merci , cordialement , Patrick1969 .
Dernière modification par Patrick1969 (2015-10-08 20:06:21)
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne
Bonsoir .
J'ai beau essayer de trifouiller un peu partout , la reconnexion automatique
ne se lance pas chez moi .
Quelqu'un d'entre vous aurait-il le script de reconnexion automatique fonctionnel
d'installé sur sa distribution pour me venir en aide ?
J'ai aussi remarqué que lorsque le pare-feu est activé , qu'il m'est impossible
de me connecter en PPTP , cela est il normal ou faut-il faire une modification
dans le pare-feu pour que PPTP puisse passer à travers lorsqu'il est activé ?
La seule manière que j'ai trouvé jusqu'à présent pour qu'une
reconnexion automatique se fasse c'est de me connecter au serveur vpn
en ligne de commande . Là , pas de souci , je retire le rj 45 de ma carte réseau
j'attends 30 secondes avant de le rebrancher et hop , surprise la connexion
automatique au serveur vpn lancée en ligne de commande se fait sans souci .
D'avance merci , cordialement , Patrick1969 .
Dernière modification par Patrick1969 (2015-10-14 15:47:32)
L'accès à ce forum reste un privilège et non un droit , n'oubliez pas que nous sommes une communauté et non pas un dû .
Hors ligne