Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

chico · 2015-09-18 18:08:54

#stratégies par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Patrick1969 · 2015-09-22 19:01:19

Dernière modification par Patrick1969 (2015-09-22 19:02:16)

metalux · 2015-09-22 21:17:58

sudo iptables -L

Patrick1969 · 2015-09-22 22:29:11

Bonsoir Metalux .
Voici ce que me donne le résultat iptables -L sans connexion au vpn :

spies @ spies  ~
└─ $ ▶ sudo iptables -L
[sudo] password for spies: 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.0/24       anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  localhost            anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     all  --  136.103.196.5.rev.fip-services.hk  anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  196.190.23.94.rev.fip-services.hk  anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  116.186.196.5.rev.fip-services.hk  anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             192.168.1.0/24      
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             localhost           
ACCEPT     all  --  anywhere             anywhere             state NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     all  --  anywhere             136.103.196.5.rev.fip-services.hk  state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             196.190.23.94.rev.fip-services.hk  state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             116.186.196.5.rev.fip-services.hk  state NEW,RELATED,ESTABLISHED
spies @ spies  ~
└─ $ ▶

Quant au script , j'ai supprimé le contenu de celui à Ljere et remplacé par celui à Chico . ( simple copié / collé )

#!/bin/sh

iptables -F

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

#FIP CH
iptables -A INPUT -s ch.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d ch.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#FIP AT
iptables -A INPUT -s at.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d at.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#FIP BE
iptables -A INPUT -s be.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d be.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

puis :

sudo chmod +x /etc/init.d/parefeu

et pour finir

sudo service parefeu start

A savoir que cela fonctionne bien , tant que je ne suis pas connecté au vpn je n'ai pas accès à internet .
Et , dès que je ne suis plus connecté au vpn plus d'accès à internet .
Peut-être ai je mal compris le principe mais lorsque je stop le pare-feu je devrai pouvoir me connecter
à internet mais avec mon ip publique non ?
D'avance merci , cordialement , Patrick1969 smile

Dernière modification par Patrick1969 (2015-09-22 22:31:21)

metalux · 2015-09-22 23:07:42

#!/bin/sh
start() {
#Tu colles ici le script de chico, je te laisse le faire.
# et on finit par l'accolade comme ci-dessous pour fermer la fonction start
}

#Maintenant tu crées la fonction stop  
 stop() {
#Tu remets les règles par défaut si $1=stop.
     iptables -P INPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -F
 }

#Puis ici tu fais une boucle qui teste si tu passes l'argument start alors tu lances la fonction start (le script de chico) ou si il s'agit de stop, tu lances la fonction stop.
case "$1" in
  start)
         start
         ;;
  
 stop)
         stop
         ;;
 restart)
         stop && sleep 2 && start
         ;;
 *)
         echo "Usage $0 {start|stop|restart}"
         exit 1
 esac
  
 exit 0

Patrick1969 · 2015-09-23 14:29:23

Bonjour metalux . smile
Bah , effectivement je n'ai rien compris du tout au fonctionnement
d'un script . Cela commence un peu à s'éclairer dans mon esprit grâce à
vos explications . Comme je l'ai déjà dit , c'est pas évident de se lancer
dans un monde jusqu'à présent inconnu . Pourriez vous me dire si le script
est juste comme cela :

#!/bin/sh
start() {
#Tu colles ici le script de chico, je te laisse le faire.
# et on finit par l'accolade comme ci-dessous pour fermer la fonction start
iptables -F

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -j ACCEPT

iptables -A INPUT -i tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT

iptables -A OUTPUT -o tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

serveurs=( at be bg ca ch cz de dk ee es fi fr gr hr ie is it lt lu lv mt nl no pl pt ro ru se si ua uk us )
for servfreedom in ${serveurs[@]};do
iptables -A INPUT -s $servfreedom.freedom-ip.com -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d $servfreedom.freedom-ip.com -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
done
}

#Maintenant tu crées la fonction stop  
 stop() {
#Tu remets les règles par défaut si $1=stop.
     iptables -P INPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -F
 }

#Puis ici tu fais une boucle qui teste si tu passes l'argument start alors tu lances la fonction start (le script de chico) ou si il s'agit de stop, tu lances la fonction stop.
case "$1" in
  start)
         start
         ;;
  
 stop)
         stop
         ;;
 restart)
         stop && sleep 2 && start
         ;;
 *)
         echo "Usage $0 {start|stop|restart}"
         exit 1
 esac
  
 exit 0

Un grand merci à vous de votre aide et votre implication .
Je vous souhaite une bonne journée .
Bien cordialement , Patrick1969 .

metalux · 2015-09-24 21:05:25

Bonsoir Patrick1969,
Oui, cela me parait correct, en même temps j'avais déjà bien mâché le travail wink
Le meilleur moyen de savoir si il fonctionne est de le tester.

Cordialement.

Patrick1969 · 2015-09-25 14:33:14

Bonjour metalux.
Je viens de tester , voici le résultat :

 sudo service parefeu start
/etc/init.d/parefeu: 35: /etc/init.d/parefeu: Syntax error: "(" unexpected (expecting "}")

Puis je encore vous demander votre aide sans vouloir abuser . smile
Merci , cordialement , Patrick1969

metalux · 2015-09-25 18:34:53

Bonjour Patrick1969,
à mon tour d'être sadique, relis bien les messages, il y a la réponse ici-même devil
Si tu ne trouves pas, je t'indiquerai ou regarder en priorité mais pas avant que tu as recherché un peu big_smile
Sinon juste une remarque, je t'ai tutoyé, j'espère que tu n'y vois pas d'inconvénients, et le cas échéant, autant t'exprimer de la même façon lorsque tu t'adresses à moi. Si tu préfères autrement, n'hésite pas à me le dire, j'en tiendrai compte dans les futurs messages.
Bonne soirée.

Patrick1969 · 2015-09-26 11:57:39

Bonjour metalux .
Je vois , j'ai donc affaire à 3 "sadiques " ! , "Riri , Fifi et loulou " . smile
Terrible comme genre de situation ...
Mais c'est vrai , il faut le dire , vous l'êtes un peu moins que David et que Chico
pour ne pas les citer. tongue
Je vais donc passer à la relecture des divers post et j'espère être
assez lucide pour y trouver la solution . Enfin si vous passez par ici
totalement par hazard , vous pouvez toujours me donner le numéro du post
sur lequel il faudrait que je m'attarde ... ( This is a joke ) big_smile
Ne dit on pas que l'espoir fait vivre les imbéciles ? smile
Pour ma part , je n'ai aucun souci en ce qui concerne le tutoiement , soyons fou ,
tutoyons nous
Je te souhaite à toi ainsi qu'aux autres sadiques une bien belle journée .
Cordialement , Patrick1969 .

chico · 2015-09-26 12:42:06

Bonjour,

Qui aime bien, châtie bien, comme dit le dicton big_smile

Didier-T · 2015-09-26 18:21:39

Bonjour a tous,
Ça ressemble à une chasse au dahu votre histoire cool big_smile

Patrick1969 · 2015-09-29 19:44:11

Bonsoir à tous .
Là , j'suis au bord de la dépression .... cry
J'ai lu , " relu " , " rerelu " tous les posts et pourtant je ne trouve pas
ce qui devrait apparemment me sauter aux yeux .
J'ai fait des recherches sur le " net " avec l'erreur qui m'est donnée mais
cela ne m'avance guère . J'ai vu qu'il fallait parfois rajouter un slash ou
un anti-slash à cause de certains guillemets . Alors j'en ai mis , j'en ai enlevé ......
J'ai même eu des erreurs supplémentaires dans certains cas ... cry
Alors Messieurs les " sadiques " au cas où une once d'humanité venait
à faire surface lorsque vous lirez ce message ne vous gênez pas , laissez
parler votre coeur big_smile .
Vous aurez fait une bonne action et vous serez en paix avec votre conscience. lol
Je vous souhaite une bonne soirée , cordialement , Patrick1969 .

David · 2015-09-29 19:56:20

Bonsoir ...

Vers quel Shell pointe le fichier /bin/sh !?

En fonction du Shell (Dash, Bash, Csh, ...) les syntaxes diffèrent pour travailler avec les tableaux ... Ce qui est votre cas lorsque la ligne "for servfreedom" itère les entrées du tableau "serveurs".

Cordialement, David.

chico · 2015-09-29 20:42:32

Bonsoir,

David n'est donc pas si sadique que ça big_smile , j'me sent seul maintenant devil

ptit_poulet · 2015-09-29 20:45:56

Bonsoir,

Nan t'inquiète je suis là aussi devil

Patrick1969 · 2015-09-30 16:00:17

David · 2015-09-30 17:12:12

metalux · 2015-09-30 19:19:40

Patrick1969 · 2015-10-08 15:41:35

chico · 2015-10-08 16:04:02

Patrick1969 · 2015-10-08 16:52:15

chico · 2015-10-08 17:26:38

Ne pas confondre réseau et internet wink

Cordialement

Patrick1969 · 2015-10-08 18:29:40

Hum , je vois ... Je me suis mal exprimé .
Votre sadisme revient au galop smile , reformulons correctement .
Lorsque je débranche le RJ45 de mon unité centrale et que je le rebranche ,
mon réseau est bien présent mais je n'accède pas à internet . Situation qui est normale
car le pare-feu est en fonction et que je ne suis plus connecté au vpn . Ce qui prouve également
que VOTRE script est top opérationnel . big_smile
Il me faut couper le pare-feu pour pouvoir avoir accès à internet et donc du coup je navigue
avec mon ip publique .
Le problème est que lorsque le réseau revient une fois que mon câble RJ45 est rebranché , la reconnexion
automatique au vpn sélectionné dans le script ne se fait pas et donc , pas d'accès à internet sans une connexion
manuelle au vpn .
Auriez vous une idée de ce qui bloque le bon fonctionnement du script de reconnexion automatique ?
D'avance merci , cordialement , Patrick1969 .

Dernière modification par Patrick1969 (2015-10-08 20:06:21)

Patrick1969 · 2015-10-13 17:22:06

Bonsoir .
J'ai beau essayer de trifouiller un peu partout , la reconnexion automatique
ne se lance pas chez moi .
Quelqu'un d'entre vous aurait-il le script de reconnexion automatique fonctionnel
d'installé sur sa distribution pour me venir en aide ?

J'ai aussi remarqué que lorsque le pare-feu est activé , qu'il m'est impossible
de me connecter en PPTP , cela est il normal ou faut-il faire une modification
dans le pare-feu pour que PPTP puisse passer à travers lorsqu'il est activé ?

La seule manière que j'ai trouvé jusqu'à présent pour qu'une
reconnexion automatique se fasse c'est de me connecter au serveur vpn
en ligne de commande . Là , pas de souci , je retire le rj 45 de ma carte réseau
j'attends 30 secondes avant de le rebrancher et hop , surprise la connexion
automatique au serveur vpn lancée en ligne de commande se fait sans souci .

D'avance merci , cordialement , Patrick1969 .

Dernière modification par Patrick1969 (2015-10-14 15:47:32)

Forum Freedom-IP VPN

Annonce

#51 2015-09-18 18:08:54

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#52 2015-09-22 19:01:19

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#53 2015-09-22 21:17:58

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#54 2015-09-22 22:29:11

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#55 2015-09-22 23:07:42

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#56 2015-09-23 14:29:23

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#57 2015-09-24 21:05:25

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#58 2015-09-25 14:33:14

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#59 2015-09-25 18:34:53

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#60 2015-09-26 11:57:39

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#61 2015-09-26 12:42:06

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#62 2015-09-26 18:21:39

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#63 2015-09-29 19:44:11

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#64 2015-09-29 19:56:20

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#65 2015-09-29 20:42:32

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#66 2015-09-29 20:45:56

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#67 2015-09-30 16:00:17

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#68 2015-09-30 17:12:12

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#69 2015-09-30 19:19:40

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#70 2015-10-08 15:41:35

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#71 2015-10-08 16:04:02

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#72 2015-10-08 16:52:15

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#73 2015-10-08 17:26:38

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#74 2015-10-08 18:29:40

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

#75 2015-10-13 17:22:06

Re : Solutions rapides pour sécuriser sa connexion (applis, etc.) [Linux]

Pied de page des forums