Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora Linux 36 est disponible !

#1 19/08/2014 11:30:16

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

firewalld : interdire les connexions non VPN

Bonjour à tous ,

Depuis peu je me suis mis à tester une solution VPN avec le service Vpntunnel , ce dernier utilise OpenVPN . J'ai réussis à tout mettre en place , cependant , vous le savez ,
il y a une faille au VPN , notamment en cas de coupure de ce dernier même brève , pas sure qu'on s'en aperçoive non plus   .

Je sais qu'il est possible de configurer iptables pour n'autoriser que les connexions VPN et couper toutes les connexions en cas de perte du VPN . J'ai vu des choses allant dans ce sens sur la toile .
Cependant pour le moment ce que j'ai trouvé, j'ai un peu de mal j’avoue à le comprendre . ( par ex : https://airvpn.org/topic/4287-how-to-bl … ion-fails/ )

Nous avons une interface graphique dans Fedora pour gérer iptables , peut être qu'il est possible de l'utiliser pour bien configurer la connexion au serveur distant VPN .
Si quelqu'un sait comment faire de la façon la plus simple possible ça m’intéresse , car à l'avenir , il faudrait pouvoir revenir en arrière et autoriser de nouveau les connexions standard .


Merci à vous pour votre aide wink

Dernière modification par brain71 (20/08/2014 19:39:54)

Hors ligne

#2 19/08/2014 13:58:28

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 031

Re : firewalld : interdire les connexions non VPN

Ton tutoriel il est pour dd-wrt qui est une distribution spécialisée routeur.

Si je regarde là http://doc.ubuntu-fr.org/utilisateurs/c … ntunnel.se c'est certainement plus proche de ce que dois avoir.

Peux-être peut donner le résultat de la commande

ifconfig

avec le vpn et sans le vpn.


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#3 19/08/2014 20:15:51

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

Bonsoir phillipe_PMA  et merci pour ta réponse !

Je ne savais que le tuto était pour une distribution routeur .. Du coup je ne peux pas me servir des éléments iptables visiblement ..

voilà ce que me retourne if config sans vpn :

ifconfig
enp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::fa0f:41ff:fe8e:134b  prefixlen 64  scopeid 0x20<link>
        ether f8:0f:41:8e:13:4b  txqueuelen 1000  (Ethernet)
        RX packets 29325  bytes 33397783 (31.8 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 22449  bytes 2188003 (2.0 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Boucle locale)
        RX packets 10  bytes 940 (940.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 10  bytes 940 (940.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Et avec VPN :

ifconfig
enp1s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.1.2  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::fa0f:41ff:fe8e:134b  prefixlen 64  scopeid 0x20<link>
        ether f8:0f:41:8e:13:4b  txqueuelen 1000  (Ethernet)
        RX packets 29412  bytes 33407383 (31.8 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 22540  bytes 2195786 (2.0 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Boucle locale)
        RX packets 10  bytes 940 (940.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 10  bytes 940 (940.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.10.10.16  netmask 255.255.255.0  destination 10.10.10.16
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 15  bytes 780 (780.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

On peu peut être sans servir pour configurer iptables . En fouinant un peu sur la gui d'iptables je vois bien la création de régle mais j'ai peur qu'on est pas cette possibilité ..

Hors ligne

#4 19/08/2014 20:47:19

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 759
Site Web

Re : firewalld : interdire les connexions non VPN

Vu que l'on utilise firewalld et plus iptables, ne serait il pas bon de faire une recherche à ce niveau? Sinon il faut pensez à désactiver firewalld et activer iptables avec systemd, sinon cela ne sert à rien.


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3600 Kingston Renegarde C18 (en test), RX5700XT MSI WaterCooling OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, 3To Red, BeQuiet Purepower 1000W plat, BSGT Dark 900
AMD R7 2700x + 32Go DDR4 3200Mhz, 1xPNY LXR8 1To, 2x1To 860QVO, BMT MasterBox Q300L
AMD R5 2600, Asus mATX, 32Go DDR4 2933Mhz, 1x250GO SSD, 3x 2To RAID5 WDBlue, BCubes Chieftec + AMD A6 9500, 16Go, SSD 250Go

Hors ligne

#5 19/08/2014 20:56:24

Valdes
Dovahkiin
Lieu : Paris
Inscription : 04/09/2007
Messages : 2 131

Re : firewalld : interdire les connexions non VPN

J'ai pas la solution à ton problème, par contre c'est quoi la faille en question dans le VPN ? Et surtout, dans quelle implémentation du protocole ?


Fedora 26 x86_64 sur Dell Latitude E7470
Prends le temps d'écrire correctement, et on prendra le temps de répondre correctement.

Hors ligne

#6 19/08/2014 22:39:06

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

VINDICATORs a écrit :

Vu que l'on utilise firewalld et plus iptables, ne serait il pas bon de faire une recherche à ce niveau? Sinon il faut pensez à désactiver firewalld et activer iptables avec systemd, sinon cela ne sert à rien.

Merci pour cette info car effectivement c'est un élément important .

Valdes a écrit :

J'ai pas la solution à ton problème, par contre c'est quoi la faille en question dans le VPN ? Et surtout, dans quelle implémentation du protocole ?

Quand je parle de faille , ce n'est pas au niveau du protocole mais du simple fait qu'une coupure du VPN distant nous met donc à nu temporairement , c'est un problème connu , il existe un petit soft pour régler ça . Vpnautoconnect  entre autre, chez moi il ne fonctionne pas car je pense qu'il est accès sur Debian/Ubuntu et quand on me dit que nous utilisons firewalld , on peut imaginé que c'est ce qui pourrait expliquer le non fonctionnement du programme .

Vpnautoconnect est censé couper toutes les communications en cas de déconnexion du VPN , certainement uniquement avec iptables utilisé par Debian et Ubuntu .

Dernière modification par brain71 (19/08/2014 23:21:10)

Hors ligne

#7 19/08/2014 23:21:37

Valdes
Dovahkiin
Lieu : Paris
Inscription : 04/09/2007
Messages : 2 131

Re : firewalld : interdire les connexions non VPN

Je vois pas où est le problème si le VPN tombe. Au pire, t'as des trames chiffrées qui partent dans le /dev/null de l'Internet.
Si le problème c'est que ta machine du coup va recommencer à émettre en dehors du VPN, t'as juste à dropper tout ce qui OUT pas depuis le port du VPN.
Mais les softs qui gèrent les connexions VPN gèrent pas ça ? Genre ils empêchent tout trafic en dehors du canal VPN ?


Fedora 26 x86_64 sur Dell Latitude E7470
Prends le temps d'écrire correctement, et on prendra le temps de répondre correctement.

Hors ligne

#8 19/08/2014 23:52:35

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

Valdes a écrit :

Je vois pas où est le problème si le VPN tombe. Au pire, t'as des trames chiffrées qui partent dans le /dev/null de l'Internet.
Si le problème c'est que ta machine du coup va recommencer à émettre en dehors du VPN, t'as juste à dropper tout ce qui OUT pas depuis le port du VPN.
Mais les softs qui gèrent les connexions VPN gèrent pas ça ? Genre ils empêchent tout trafic en dehors du canal VPN ?


Tout les logiciels que j'utilise n'ont pas d'option malheureusement spécifique au VPN .
Et je t'avoue que je ne saurais pas faire ce paramétrage à priori aujourd’hui avec firewalld.

En écrivant à Vpntunnel ( le service que j'utilise ) on me répond qu’effectivement je dois configurer mon parefeu pour éviter de me retrouver à nue en cas de coupure du VPN ..

Hello,

Yes, any connection can be terminated and when OpenVPN terminates you are exposed. You will need to configure the firewall to only allow VPN connections.


Best regards,
Jonas

Apparemment firewalld apporte de vrai plus , alors si je pouvais éviter de le remplacer par iptables ce serait préférable .. C'est ce que je vais essayer de faire , si je trouve comment faire bien sur ..

Dernière modification par brain71 (20/08/2014 00:18:21)

Hors ligne

#9 20/08/2014 00:28:08

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 759
Site Web

Re : firewalld : interdire les connexions non VPN

Déjà fait un tour dans la doc pour en apprendre plus, je n'ai pas encore tester la mise en place d'un vpn ayant des soucis de point de vue avec le centre de formation où je suis. Celui qui en avait mis un c'est pris un tire de la direction car pour eux il contourné les sécurités à la con qu'ils nous ont foutu...


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3600 Kingston Renegarde C18 (en test), RX5700XT MSI WaterCooling OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, 3To Red, BeQuiet Purepower 1000W plat, BSGT Dark 900
AMD R7 2700x + 32Go DDR4 3200Mhz, 1xPNY LXR8 1To, 2x1To 860QVO, BMT MasterBox Q300L
AMD R5 2600, Asus mATX, 32Go DDR4 2933Mhz, 1x250GO SSD, 3x 2To RAID5 WDBlue, BCubes Chieftec + AMD A6 9500, 16Go, SSD 250Go

Hors ligne

#10 20/08/2014 00:28:21

Valdes
Dovahkiin
Lieu : Paris
Inscription : 04/09/2007
Messages : 2 131

Re : firewalld : interdire les connexions non VPN

Ok donc le problème à priori c'est que ton soft qui gère ta connexion au VPN, quand il voit que c'est down, il redirect vers la connexion standard non sécurisée. Si tu passes par le gestionnaire de connexions Gnome, tu peux pas lui dire de tout couper quand le VPN tombe ?

Sinon en passant par le firewall Gnome (firewall-config), tu modifie la zone "blocked" pour n'autoriser que les connexions sur le port 1194 TCP+UDP et tu modifies la zone firewall dans les préférences du réseau pour que sur ton réseau pas fiable il se mette par défaut sur la zone blocked (qui est du coup VPN only). C'est pas non plus très compliqué à faire, faut juste prendre 5 minutes pour lire l'interface de firewall-config.
Je sais pas du tout si c'est la bonne méthode, mais c'est ce que je ferais après avoir regardé vite fait la conf du firewall.


Fedora 26 x86_64 sur Dell Latitude E7470
Prends le temps d'écrire correctement, et on prendra le temps de répondre correctement.

Hors ligne

#11 20/08/2014 02:26:28

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

Pour le gestionnaire de connexion je n'a rien trouvé de tel dans les options malheureusement ( Je suis sur Mate )

je viens de configurer firewalld , j'ai bien lu la doc et il me semble avoir fait tout ce qu'il fallait , à moins d'une erreur , mais je vois pas laquelle mes connexions passent toujours même en passant en mode blocked sur le pare feu et en modifiant mon profil de connexion ..

D'aprés le doc anglaise voici la définition de ce mode :

 block

Any incoming network connections are rejected with an icmp-host-prohibited message for IPv4 and icmp6-adm-prohibited for IPv6. Only network connections initiated within this system are possible. 

C'est peut être ce qui ne va pas .. C'est pas si restrictif que ça ..

Dernière modification par brain71 (20/08/2014 02:35:53)

Hors ligne

#12 20/08/2014 22:02:18

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

J’espère me tromper , et que firewalld n'est pas encore trop récent pour être aussi configurable qu'iptables par exemple .  On trouve très peu d'info sur la toile pour le configurer et lui faire faire ce que je veux ..

Si je trouve une solution je l'écrirais ici , je suis en train de faire des tests pour le moments , mais rien de concluant ..

Hors ligne

#13 21/08/2014 06:50:15

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 759
Site Web

Re : firewalld : interdire les connexions non VPN

Je te regarde cela ce week end n'ayant pas trop le temps d'ici là.

C'est très configurable, après c'est encore trop récent pour avoir des infos à ce sujet. Il me semble me souvenir d'une doc très complète, à voir si je le me rappel où elle peut être.

Sinon iptable est toujours là, mais il faut désactiver firewalld et réactiver iptables avec systemd.

Regarde du coté du man :
man firewalld.richlanguage
Voir les autres man concernant firewalld.quelquechose...

Pense à vérifier que tu es le bon profil pour le bon périphérique/interface réseau.

Tiens la doc en anglais de chez redhat :
https://access.redhat.com/documentation … walls.html
http://www.be-root.com/2012/05/30/fedor … firewalld/

Enfin bref perso j'en trouve plein...

Dernière modification par VINDICATORs (21/08/2014 06:59:50)


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3600 Kingston Renegarde C18 (en test), RX5700XT MSI WaterCooling OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, 3To Red, BeQuiet Purepower 1000W plat, BSGT Dark 900
AMD R7 2700x + 32Go DDR4 3200Mhz, 1xPNY LXR8 1To, 2x1To 860QVO, BMT MasterBox Q300L
AMD R5 2600, Asus mATX, 32Go DDR4 2933Mhz, 1x250GO SSD, 3x 2To RAID5 WDBlue, BCubes Chieftec + AMD A6 9500, 16Go, SSD 250Go

Hors ligne

#14 21/08/2014 11:18:49

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

VINDICATORs a écrit :

Je te regarde cela ce week end n'ayant pas trop le temps d'ici là.

C'est très configurable, après c'est encore trop récent pour avoir des infos à ce sujet. Il me semble me souvenir d'une doc très complète, à voir si je le me rappel où elle peut être.

Sinon iptable est toujours là, mais il faut désactiver firewalld et réactiver iptables avec systemd.

Regarde du coté du man :
man firewalld.richlanguage
Voir les autres man concernant firewalld.quelquechose...

Pense à vérifier que tu es le bon profil pour le bon périphérique/interface réseau.

Tiens la doc en anglais de chez redhat :
https://access.redhat.com/documentation … walls.html
http://www.be-root.com/2012/05/30/fedor … firewalld/

Enfin bref perso j'en trouve plein...

Merci Vincicators pour ta réponse smile je vais fouiller les quelques doc que tu as trouvé.Pour les profils je ne me suis pas trompé , j'ai bien lu la doc française à ce sujet , mais il semble que le mode bloked d’après la doc anglaise ne soit pas prévu pour faire ça .

Oui , on voit que c'est encore récent car sur la toile on ne trouve pas grand chose comme témoignage sur le bloquage des ports pour le VPN , mais tu as raisons on voit que c'est très configurable .
Je préférerai ne pas utiliser iptables pour une raison simple , on ce rend bien compte que firewalld apporte un vrai plus, la configuration dynamique entre autre .

Dernière modification par brain71 (21/08/2014 11:41:30)

Hors ligne

#15 21/08/2014 13:45:17

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 031

Re : firewalld : interdire les connexions non VPN


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#16 21/08/2014 18:11:34

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 759
Site Web

Re : firewalld : interdire les connexions non VPN

tu peux rajouter des règles perso de toute manière, le mode blocked n'est peut être pas adapter par défaut à ce que tu cherche.

Franchement je trouve que c'est quand même un bon en avant :).


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3600 Kingston Renegarde C18 (en test), RX5700XT MSI WaterCooling OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, 3To Red, BeQuiet Purepower 1000W plat, BSGT Dark 900
AMD R7 2700x + 32Go DDR4 3200Mhz, 1xPNY LXR8 1To, 2x1To 860QVO, BMT MasterBox Q300L
AMD R5 2600, Asus mATX, 32Go DDR4 2933Mhz, 1x250GO SSD, 3x 2To RAID5 WDBlue, BCubes Chieftec + AMD A6 9500, 16Go, SSD 250Go

Hors ligne

#17 22/08/2014 13:36:16

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 031

Re : firewalld : interdire les connexions non VPN

Personnellement, je tâterais du côté des adressages utilisées sur chaque interfaces :
- Interdire enp1s0 / 192.168.1.*/24
- autoriser tun0 / 10.10.10.*/24

Sinon, c'est via les ports utilisés.


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#18 24/08/2014 02:12:08

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

Bon , j'ai fais pas mal d'essai , quelque chose doit m'échapper , parce-que pour moi , tout ce que je fais n'a aucune répercussion . Je tentais pour le moment de bloquer uniquement le port html . De bloquer mon adresse ip locale .. ( ce sont des tests )

Je pensais pouvoir utiliser ça : http://forums.fedoraforum.org/showthread.php?t=297560
Étant donné que je suis en ip fix local .

Après philippe_PMA a raison , si on pouvait interdire une interface ce serait le top mais bon ..  hmm

EDIT: Je vais dans la configuration des règles riches ,
Je rempli comme suit les différents champs :

Famille : ipv4
Action : reject
Source : 192.168.1.2/24

Les autres champs sont vierges et je suis dans la configuration du pare feu "temps d’exécution" pour que ce soit pris en compte en direct. Mais ça ne fonctionne absolument pas . Même si je coche l'option service http dans la règle riche ça ne le coupe pas ..
J'ai bien pensé à me mettre sur la bonne configuration du pare feu et à modifier celle de la connexion utilisé .. Ce qui me rassure c'est que le mode pannic fonctionne au moins , comme quoi ce que je fais à un impact mais je ne dois pas rentrer la bonne adresse ip , ou un truc tout bête .. pourtant c'est dure de ce tromper .....

Dernière modification par brain71 (24/08/2014 16:45:14)

Hors ligne

#19 25/08/2014 13:51:53

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 031

Re : firewalld : interdire les connexions non VPN

As tu pensé à vérifier le résultat au niveau netfiter ?

Tu peux faire la commande suivante :

iptables -v -L

et éventuellement nous donner le résultat.


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#20 25/08/2014 23:37:09

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

philippe_PMA a écrit :

As tu pensé à vérifier le résultat au niveau netfiter ?

Tu peux faire la commande suivante :

iptables -v -L

et éventuellement nous donner le résultat.

Non , à vrai dire j'ai choisi une solution au final de facilité , oui firewalld a de la doc mais peut de personne parle de réglage précisément pour le vpn , je pense que c'est encore tôt. J'ai fais la procédure pour désactiver firewalld et activer iptable,
j'espère avoir plus de chance avec cette "solution" . Je ne m'en sors pas mieux pour le moment mais j'ai de meilleurs résultat avec ça :  http://unix.stackexchange.com/questions … -allow-vpn

Voici le message d'erreur que j'ai avec openvpn :

RESOLVE: Cannot resolve host address: ru-vpn.vpntunnel.se: Name or service not known

Ainsi que le retour de la commande iptables -v -L :

iptables -v -L
Chain INPUT (policy ACCEPT 4 packets, 271 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    4   275 DROP       all  --  any    any     anywhere             anywhere             /* Drop all other traffic */
    0     0 ACCEPT     all  --  any    any     212.76.140.159       default/1            /* Allow all traffic to VPN newtork */
 1392  248K ACCEPT     udp  --  any    any     anywhere             83.222.104.18        /* Allow traffic to VPN SERVER */

Moi tout ça j'ai un peu de mal à comprendre j'avoue .. hammer
Au moins quand je dis de rejeter toutes les connexions ça fonctionne , là ou je dois me planter c'est plus de rentrer les bonnes informations à la place de VPNSERVER de VPNIP et VPNNETWORK/CIDR , car une fois cette procédure réalisé,
openvpn n'arrive plus à communiquer avec le serveur VPN , or il devrait pouvoir en théorie .

Dernière modification par brain71 (26/08/2014 00:37:42)

Hors ligne

#21 27/08/2014 14:10:35

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 031

Re : firewalld : interdire les connexions non VPN

Hou là. Ta machine est ouverte en INPUT à qui veux !

Tes règles ne sont pas liées à des interfaces.
Ton interface tun0 en 10.10.10.16 n'a pas de règle.

A mon avis, le mieux serait d'utiliser wireshark pour voir où passe le trafic quand tu es avec le VPN.
A partir de là, il sera possible de réfléchir à quelles règles mettre en place.

Il y a aussi quelques tutos pour pourraient t'être utiles :
https://community.openvpn.net/openvpn/w … AndRouting
https://tech.kanka.ch/index.php/faire-t … ur-debian/

Je n'ai lu qu'en diagonale.


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#22 27/08/2014 20:50:08

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 759
Site Web

Re : firewalld : interdire les connexions non VPN

Bon faut faire gaffe entre Fedora et debian pas mal de choses changent...

J'en fais l'amère expérience car sous Fedora/centOS les sécurités sont partout... amère parce que l'on taff avec des debiantistes qui n'ont pas toutes les sécurités... Du coup j’apprends pas ce qu'il faut régler et donc galère pour trouver les solutions car les docs sur le net ne sont pas toujours à jours...

Après je sais pas qui a tord, Debian sans sécurité à réglé par la suite ou CentOS/fedora qui demande le contraire... Perso je suis partisan de la philosophie de Centos/Fedora. Mais bon je me fais chambrer avec cela... Quoi qu'au final je me retrouve avec beaucoup d'avance... Du coup je me fou de leurs tronche niark niark niark :P!

Enfin bref, j'attaque le vpn, dsl pas eu la possibilité de le faire avant. Perso je préfère utilisé firewalld car je le trouve bien mieux fichu et au moins on peu tester les réglages en temps réel.

Exemple de doc pas à jours : http://fedoraproject.org/wiki/Openvpn

Mais bon à voir ce que l'on peu en faire pour adapter à notre sauce.

Je rappel aussi que les docs du site fedora-fr demande à être retouché, voir en refaire pas mal, donc n'hésitez pas à vous manifester.

Dernière modification par VINDICATORs (27/08/2014 20:52:54)


AMD R7 5800x, MSI Pro Carbon X470, 64Go DDR4 3600 Kingston Renegarde C18 (en test), RX5700XT MSI WaterCooling OC, SSD : 1xPNY LXR8 1To + 1x970EVO 500Go + 2x500Go 860EVO, 3x1To 860EVO, HDD WD 2To + 4To Black, 3To Red, BeQuiet Purepower 1000W plat, BSGT Dark 900
AMD R7 2700x + 32Go DDR4 3200Mhz, 1xPNY LXR8 1To, 2x1To 860QVO, BMT MasterBox Q300L
AMD R5 2600, Asus mATX, 32Go DDR4 2933Mhz, 1x250GO SSD, 3x 2To RAID5 WDBlue, BCubes Chieftec + AMD A6 9500, 16Go, SSD 250Go

Hors ligne

#23 27/08/2014 22:37:23

brain71
Apprenti Fedora
Inscription : 13/11/2007
Messages : 567

Re : firewalld : interdire les connexions non VPN

Je viens de trouver quelques choses de très intéressant qui semble fonctionner chez moi je vous donne les commandes :

iptables -F OUTPUT # Empty the OUTPUT chain of any current rules
iptables -A OUTPUT -o lo -j ACCEPT # Allow loopback traffic
iptables -A OUTPUT -o tun+ -j ACCEPT # Allow all traffic out over the vpn
iptables -A OUTPUT -o eth0 -p udp -m udp --dport 443 -j ACCEPT # Allow traffic out on port 443 which the VPN uses
iptables -A OUTPUT -o eth0 -d 192.168.0.0/24 -j ACCEPT # Allow local network traffic
iptables -P OUTPUT DROP # Default action if no other rules match

/usr/libexec/iptables/iptables.init save
systemctl enable iptables.service

eth0 est à remplacer par l'interface que nous utilisons et 192.168.0.0 par notre adresse ip local . Apparemment ça fonctionne chez moi. C'est une demie victoire car je passe par iptables .. Mais bon dure dure de trouver pour firewalld .

J'ai aussi trouvé un script que je n'ai pas testé qui peut régler le problème de tout le monde s'il fonctionne :

1- Create a file called vpnscript (or anything else) in /etc/NetworkManager/dispatcher.d/

2-copy/paste the following into that script

#!/bin/sh
# use tail - /var/log/syslog in terminal to check if it is executed the four lines help you spot easily

logger -s XXXXXXXXXX
logger -s $1
logger -s $2
logger -s XXXXXXXXXX


if [ $2 = "vpn-down" ]
then
# Shut down eth0 when vpn fails (change eth0 to your nic)
ifconfig eth0 down
# this will turn off your wireless networking completely
# ip link set wlan0 down
fi

3- in a terminal run chmod 755 vpnscript 

Je ne sais pas ce que ça vaut par contre . Si on trouvait pour firewalld on pourrait mettre à jour notre doc , je suis prêt à tenter de le faire , mais pour ne pas faire de bêtises j'ai besoin d'être un peu surveillé big_smilehammer

Merci de m'avoir mis sur les bonnes pistes et de m'avoir aidé jusqu’à présent , ne pourrait on pas transposer les commandes ci dessus pour firewalld ?

Dernière modification par brain71 (28/08/2014 00:11:15)

Hors ligne

Pied de page des forums