Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 34 Beta est disponible

#1 20/11/2019 10:33:01

shnoulle
FreePoste Addict
Lieu : Roubaix
Inscription : 07/07/2006
Messages : 1 377
Site Web

Forcer certaines applications à ne pas utiliser la connexion VPN

Bonjour,

J'ai une connexion VPN qui fonctionne plutôt bien.
Cependant : ma connexion VPN n'accepte pas de translation d'adresse de ports, et j'en aurais besoin pour certaines applications.

J'aimerais donc savoir si il existe des méthodes actuelles pour limiter certaines interfaces réseaux par application/services ?

J'ai vu que iptables pouvait limiter par utilisateur

owner match options:
[!] --uid-owner userid[-userid]      Match local UID
[!] --gid-owner groupid[-groupid]    Match local GID
[!] --socket-exists                  Match if socket exists

mais pas trouvé par application (en fait pour iptables : cela à était retiré du support il y a longtemps).

D'autres idées ?

L'utilisation des zones peut être ? Associer le VPN à une zone , et désactiver l'accès à cette zone


Je dis peut être plein de bétises hin, je suis pas un spécialiste réseau (loin de là).

Merci,
Denis

Dernière modification par shnoulle (20/11/2019 17:34:58)


En train de lire FAQ - DOC

Hors ligne

#2 20/11/2019 14:55:45

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : Forcer certaines applications à ne pas utiliser la connexion VPN

Bonjour,

je vois pas comment une connexion peut interdire la translation d'adresse. Tu aurais plus de détails ?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#3 20/11/2019 17:34:07

shnoulle
FreePoste Addict
Lieu : Roubaix
Inscription : 07/07/2006
Messages : 1 377
Site Web

Re : Forcer certaines applications à ne pas utiliser la connexion VPN

madko a écrit :

Bonjour,

je vois pas comment une connexion peut interdire la translation d'adresse. Tu aurais plus de détails ?

Mal exprimé : le prestataire VPN ne propose pas la translation de ports

vpn a écrit :

Unfortunately, for the moment we do not provide port forwarding, this feature might be provided in our future developments.

Dernière modification par shnoulle (20/11/2019 17:34:35)


En train de lire FAQ - DOC

Hors ligne

#4 20/11/2019 22:39:46

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : Forcer certaines applications à ne pas utiliser la connexion VPN

Avec iptables tu peux marquer les paquets en fonction de certains critères, comme le protocol, le port de destination etc. Si ça te permet de cibler ton trafic à ne pas utiliser le VPN c'est une bonne piste. Avec les paquets marqués, tu peux les envoyer dans des tables de routage différentes. 1 qui utiliserait ta passerelle via le VPN, et une autre qui utiliserait ta box. L'ensemble est pas très simple à mettre en place, et c'est pas très souple.

L'idée est de distinguer déjà les flux, ceux qui sortent par ta box et ceux qui sortent par ton VPN. C'est le plus compliqué dans l'histoire au final.

J'avais cru voir que les cgroupsV2 arrivés avec la F31 pourraient aussi aider mais je ne trouve pas d'explication. Me semble que c'est parcequ'on peut appliquer des règles de parefeu ciblées sur un cgroup. Donc ça revient à cibler une application (ou un groupe d'application), du moment qu'elles sont dans ce cgroup. C'est avec nftables, remplacant iptables.

L'autre piste que je verrais et qui me semble bien plus simple, c'est d'utiliser ton VPN que depuis une VM. Tout ce qui sera dans cette VM utilisera le VPN. Et les appli sur ta machine (donc hors VM) passeront pas par le VPN.


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#5 21/11/2019 08:49:43

shnoulle
FreePoste Addict
Lieu : Roubaix
Inscription : 07/07/2006
Messages : 1 377
Site Web

Re : Forcer certaines applications à ne pas utiliser la connexion VPN

cgroup : ca : https://unix.stackexchange.com/question … -xt-cgroup ?

Je vois un truc avec iptables

iptables -A OUTPUT -m cgroup --path test -j LOG

Bon, bin ça à pas l'air simple …

L'autre piste que je verrais et qui me semble bien plus simple, c'est d'utiliser ton VPN que depuis une VM. Tout ce qui sera dans cette VM utilisera le VPN. Et les appli sur ta machine (donc hors VM) passeront pas par le VPN.

J'ai hésiter à contruire un proxy web pour passer les navigateurs par le proxy web, j'ai déjà transmission en docker en fait.

Mais je préférerais l'inverse : tous en VPN sauf 2 applis … (et 1 IP aussi : mafreebox.fr : mais ca c'est plus facilement gérable).

Je vais peut être garder l'idée de lancer ces 2 applis sur un utilisateur restreint avec iptables et owner … si pas de solution simple et documentée ;)

Dernière modification par shnoulle (21/11/2019 08:50:25)


En train de lire FAQ - DOC

Hors ligne

#6 21/11/2019 09:05:23

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : Forcer certaines applications à ne pas utiliser la connexion VPN

Ces 2 appli peuvent pas être en VM ?


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#7 21/11/2019 10:11:59

shnoulle
FreePoste Addict
Lieu : Roubaix
Inscription : 07/07/2006
Messages : 1 377
Site Web

Re : Forcer certaines applications à ne pas utiliser la connexion VPN

madko a écrit :

Ces 2 appli peuvent pas être en VM ?

Ah, faire le contraire : passer les 2 applis en VM ?

Mais après :
1. il faut que j'ajoute le NAT sur le routeur + en local.
2. La VM doit lire et écrire sur mes fichiers actuels (des répêrtoires complets).

A voir …
Du boulot des 2 cotés :)


En train de lire FAQ - DOC

Hors ligne

Pied de page des forums