Re: connexion vpn et iptables

François Patte <francois.patte@mi.parisdescartes.fr> wrote:

iptables -L

et avec -v on voit les compteurs, de mémoire, comme ça on peut voir si
une règle sert.

Chain INPUT (policy DROP)

INPUT, OUTPUT et FORWARD en DROP est effectivement une bonne chose.

LOG_ACCEPT  all  --  10.0.0.0/24          anywhere

curieux, c'est justifié?

LOG_DROP   all  --  anywhere             anywhere

Ca cela complémente, en bas de queue, la policy DROP en faisant en plus
un LOG.

Chain LOG_ACCEPT (2 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level
warning prefix "[IPTABLES ACCEPT] : "
ACCEPT     all  --  anywhere             anywhere
 
Chain LOG_DROP (3 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             LOG level
warning prefix "[IPTABLES DROP] : "
DROP       all  --  anywhere             anywhere

Les deux chaînes spécifiques.

1- Alors que la doc openvpn dit que les requètes ont lieu vers le port
1194 (udp), quand on lance openvpn, il envoie des requètes vers le port
80, puis 443, puis vers d'autres ports et finit par utiliser le port
1194 et, donc,à établir la connexion.

Curieux, ça ça ressemblerait au setup p.ex. d'un VPN Cisco (qui passe
d'abord par le web puis fait du GRE, de mémoire).

2- ipv6: quand on cherche à savoir (des tas de sites proposent ce
service) quel est le numéro ip attribué, on  a 2 numéros, un ipv4 (qui
correspond à celui que le vpn octroit) et un ipv6 qui est celui attribué
par le fai... ce qui rend suspectes les affirmations de "cacher le
numéro ip" des fournisseurs de vpn,

Parler d'adresse plutôt que de numéro est plus clair.

Il se peut que votre fournisseur de VPN ne supporte pas l'IPv6 ou qu'il
faille l'activer. Effectivement, dans ce cas, le trafic v6 ne sera pas
via le VPN.

Sans support v6 chez le fournisseur VPN, alors désactiver le v6 semble
utile, si le VPN est utilisé pour l'anonymisation.