Sujet : Re: connexion vpn et iptables
De : francois.patte (at) *nospam* mi.parisdescartes.fr (François Patte)
Groupes : fr.comp.os.linux.configurationDate : 27. Feb 2022, 13:15:54
Autres entêtes
Organisation : A noiseless patient Spider
Message-ID : <svfmhj$p09$1@dont-email.me>
References : 1 2 3 4
User-Agent : Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Thunderbird/91.1.0
Le 26/02/2022 à 19:12, Pascal Hambourg a écrit :
Le 26/02/2022 à 16:53, François Patte a écrit :
>
j'ai ajouté au script iptables définissant les règles du parefeu les règles suivantes:
>
$IPTABLES -A INPUT -i tun0 -j LOG_ACCEPT
$IPTABLES -A FORWARD -i tun0 -j LOG_ACCEPT
Accepte tout ce qui arrive du VPN à destination de la machine locale ou d'une machine située derrière. Acceptable si le réseau à l'autre bout est de confiance, discutable dans le cas contraire (comme internet).
$IPTABLES -A OUTPUT -m state --state NEW -o $IFACE_EXTERNE -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ces règles acceptent non seulement le trafic généré par le VPN mais toute connexion sortante initiée par la machine locale.
$IPTABLES -A FORWARD -m state --state NEW -o $IFACE_EXTERNE -j ACCEPT
Le trafic concerné par cette règle n'a rien à voir avec le VPN.
S'il a vraiment été nécessaire d'ajouter toutes ces règles, je me demande vraiment ce que faisaient les règles existantes.
Bon, alors finalement, une seule règle suffit!
$IPTABLES -A OUTPUT -o tun0 -j ACCEPT
Je me demande pourquoi openvpn met toutes ces règles (et d'autres encore) dans ses fichiers d'exemple...
-- François PatteUniversité Paris Descartes