Sujet : Re: connexion vpn et iptables
De : schaefer (at) *nospam* alphanet.ch (Marc SCHAEFER)
Groupes : fr.comp.os.linux.configurationDate : 01. Mar 2022, 12:57:55
Autres entêtes
Organisation : Posted through ALPHANET
Message-ID : <svku7j$j6p$1@shakotay.alphanet.ch>
References : 1 2 3 4 5 6 7
User-Agent : tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
François Patte <
francois.patte@mi.parisdescartes.fr> wrote:
iptables -L
et avec -v on voit les compteurs, de mémoire, comme ça on peut voir si
une règle sert.
Chain INPUT (policy DROP)
INPUT, OUTPUT et FORWARD en DROP est effectivement une bonne chose.
LOG_ACCEPT all -- 10.0.0.0/24 anywhere
curieux, c'est justifié?
LOG_DROP all -- anywhere anywhere
Ca cela complémente, en bas de queue, la policy DROP en faisant en plus
un LOG.
Chain LOG_ACCEPT (2 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level
warning prefix "[IPTABLES ACCEPT] : "
ACCEPT all -- anywhere anywhere
Chain LOG_DROP (3 references)
target prot opt source destination
LOG all -- anywhere anywhere LOG level
warning prefix "[IPTABLES DROP] : "
DROP all -- anywhere anywhere
Les deux chaînes spécifiques.
1- Alors que la doc openvpn dit que les requètes ont lieu vers le port
1194 (udp), quand on lance openvpn, il envoie des requètes vers le port
80, puis 443, puis vers d'autres ports et finit par utiliser le port
1194 et, donc,à établir la connexion.
Curieux, ça ça ressemblerait au setup p.ex. d'un VPN Cisco (qui passe
d'abord par le web puis fait du GRE, de mémoire).
2- ipv6: quand on cherche à savoir (des tas de sites proposent ce
service) quel est le numéro ip attribué, on a 2 numéros, un ipv4 (qui
correspond à celui que le vpn octroit) et un ipv6 qui est celui attribué
par le fai... ce qui rend suspectes les affirmations de "cacher le
numéro ip" des fournisseurs de vpn,
Parler d'adresse plutôt que de numéro est plus clair.
Il se peut que votre fournisseur de VPN ne supporte pas l'IPv6 ou qu'il
faille l'activer. Effectivement, dans ce cas, le trafic v6 ne sera pas
via le VPN.
Sans support v6 chez le fournisseur VPN, alors désactiver le v6 semble
utile, si le VPN est utilisé pour l'anonymisation.