#626 Le 10/04/2012, à 17:33
- Ansuz
Re : Connexion VPN automatique (NetworkManager)
Arrêter le parefeu oui, comment sans bousiller les fichiers? je change le nom des 3 fichiers nommés parefeu?
Salut,
Heureux de voir que ça avance !
Si tu à créé le parefeu selon les instructions du post #78, tu peux l’arrêter et le remettre en marche avec ça : (inutile de toucher aux fichiers)
sudo /etc/init.d/parefeu stopet
sudo /etc/init.d/parefeu start"Mieux vaut ne rien savoir que beaucoup savoir à moitié !" Friedrich Nietzsche
Hors ligne
#627 Le 10/04/2012, à 18:12
- bhubuntu
Re : Connexion VPN automatique (NetworkManager)
Ben voilà c'est simple quand on sait... merci Ansuz
coté internet:
VPN actif parefeu actif --> j'ai une connexion internet
VPN actif parefeu inactif --> j'ai une connexion internet
VPN inactif parefeu inactif --> j'ai une connexion internet
VPN inactif parefeu actif --> je n'ai pas une connexion internet
coté scanner-imprimante (l'imprimante fonctionne toujours en wifi)
VPN actif avec parefeu --> simple-scan ne détecte pas le scanner en wifi
VPN actif sans parefeu --> simple-scan ne détecte pas le scanner en wifi
VPN inactif avec pare-feu --> simple-scan ne détecte pas le scanner en wifi
VPN inactif sans pare-feu --> simple-scan détecte le scanner en wifi
Dernière modification par bhubuntu (Le 10/04/2012, à 18:29)
@+ et merci :-)
PC 4x Intel(R) Core(TM) i5-2320 CPU @ 3.00GHz Nvidia GeForce GTX560 Ubuntu Bionic 18.04.3 LTS--> uname -r -m = 4.15.0-72-generic x86_64 /// lsb_release -a =Ubuntu Bionic 18.04.3 LTS
Toshiba C70-B-33G --> 5.4.0-47-generic x86_64/ Ubuntu focal 20.04.1 LTS
Hors ligne
#628 Le 10/04/2012, à 19:10
- Ansuz
Re : Connexion VPN automatique (NetworkManager)
De rien... Je suis moi-même passé par là, alors je transmets ce que je sais à d'autres.
Ton côté internet me paraît correct.
Une ligne importante est celle-ci :
VPN inactif parefeu actif --> je n'ai pas une connexion internet
Elle prouve à elle seule que ton parefeu fonctionne correctement et qu'il bloque tous les flux non VPN lorsque ce dernier est "tombé" ou arrêté volontairement comme ici.
Par contre, là tu te retrouves sans aucun anonymat "nu comme un ver" en quelque sorte :
VPN inactif parefeu inactif --> j'ai une connexion internet
En ce concerne ton scanner-imprimante, je ne te serais d'aucune utilité, désolé...
"Mieux vaut ne rien savoir que beaucoup savoir à moitié !" Friedrich Nietzsche
Hors ligne
#629 Le 11/04/2012, à 09:30
- bhubuntu
Re : Connexion VPN automatique (NetworkManager)
Voilà suite à la demande de mastergb j'ai commenté dans le parefeu le protocole GRE
ce qui me donne maintenant ceci
sudo iptables -n -L -v
Chain INPUT (policy DROP 14 packets, 1220 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
5 740 ACCEPT all -- * * 192.168.1.0/24 0.0.0.0/0
555 121K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,5876 state NEW
0 0 ACCEPT tcp -- tun0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1250 state NEW
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 192.168.1.0/24 0.0.0.0/0
Chain OUTPUT (policy DROP 6 packets, 382 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
4 712 ACCEPT all -- * * 0.0.0.0/0 192.168.1.0/24
413 55846 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:1194 state NEW
0 0 ACCEPT udp -- * eth0 0.0.0.0/0 0.0.0.0/0 udp dpt:1194 state NEW
151 9063 ACCEPT all -- * tun0 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 state NEWles tests précédents n'ont naturellement pas bougé... #628 http://forum.ubuntu-fr.org/viewtopic.ph … 1#p8771411 
@+ et merci :-)
PC 4x Intel(R) Core(TM) i5-2320 CPU @ 3.00GHz Nvidia GeForce GTX560 Ubuntu Bionic 18.04.3 LTS--> uname -r -m = 4.15.0-72-generic x86_64 /// lsb_release -a =Ubuntu Bionic 18.04.3 LTS
Toshiba C70-B-33G --> 5.4.0-47-generic x86_64/ Ubuntu focal 20.04.1 LTS
Hors ligne
#630 Le 15/04/2012, à 08:09
- ringostare
Re : Connexion VPN automatique (NetworkManager)
ringostare a écrit :question intéressante.
sinon moi, j'ai un problème, je reçois ce message à chaque fois que je veux lancer vpnautoconnect :
Le daemon ne répond pas le programme va se fermer automatiquementet je ne sais pas quoi faire.
salut,
il faut que tu recharge lvpnc. la commande est simple :sudo service lvpnc reloadvpnautoconnect va se fermer, il te suffira de le relancer pour ne plus avoir a faire a ce type de message.
un grand merci pour ça, ça fonctionne.
excusez moi de ne pas avoir donné suite plut tôt, j'ai été complètement débordé par le boulot.
un truc étrange, je n'arrive plus du tout à rajouter nicotine dans les programmes à déconnecter/reconnecter ? quand je le sélectionne, il ne s'affiche pas. Est ce qu'il y a un fichier ou je pourrai l'ajouter à la main ?
deuxième question : comment avoir le service "lvpnc" au démarrage ?
Dernière modification par ringostare (Le 17/04/2012, à 18:48)
Hors ligne
#631 Le 21/04/2012, à 17:41
- bhubuntu
Re : Connexion VPN automatique (NetworkManager)
@ mastergb #622
parefeu pour vpn et vpnautoconnect
1) Question annexe: comment peut-on désactiver vpnautoconnect si on l'a lancé au démarragei
2) toujours à propos de mon scanner qui ne passe plus avec le parefeu et le vpn mais fonctionne quand je stoppe les 2 ...
Essai pour voir d'autoriser les paquets qui vont et provienne de 224.0.0.0/4
peux-tu me détailler un peu plus ce que j'ajoute dans
gksu gedit /etc/init.d/parefeu#!/bin/sh
#
# Script de démarrage qui lance l'interface réseau internet
interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.2"
network="192.168.1.0/24"
# Rappel IPTables .
#
# /----------\ /-------\ /-----------\
# IN--->---< PREROUTING >--->---< FORWARD >--->---< POSTROUTING >--->--OUT
# \----------/ \-------/ \-----------/
# \ /
# \ /
# /-----\ /-------------\ /------\
# < INPUT >--->---< LOCAL PROCESS >--->---< OUTPUT >
# \-----/ \-------------/ \------/
start() {
# Dans cette partie, on met en place le firewall
#vidage des chaines
iptables -F
#destruction des chaines personnelles
#stratégies par défaut
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#on accepte tout le reseau local :)
iptables -A INPUT -s $network -j ACCEPT
iptables -A OUTPUT -d $network -j ACCEPT
iptables -A FORWARD -s $network -j ACCEPT
#on autorise toutes les connexion déja etabli
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -o $interfaceWWW -j ACCEPT
#on accepte tous les debit sur le port 80 venant d'internet (serveur APACHE) et le port que j'ai mis sur 5876 (defaut 22) venant d'internet (serveur SSH)
iptables -A INPUT -p TCP -m multiport --dports 80,5876 -m state --state NEW -i $interfaceWWW -j ACCEPT
#version pptp on autorise les connecion sortante vers le 1723 sur interfaceWWW pour initialiser les connexion VPN
#iptables -A OUTPUT -p TCP --dport 1723 -m state --state NEW -o $interfaceWWW -j ACCEPT
#version VPN on autorise les connecions sortantes vers le 1194 sur interfaceWWW pour initialiser les connexion VPN
#iptables -A OUTPUT -p TCP --dport 1194 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 1194 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p UDP --dport 1194 -m state --state NEW -o $interfaceWWW -j ACCEPT
#on accepte le protocol GRE sur le port interfaceWWW
#iptables -A INPUT -p gre -i $interfaceWWW -j ACCEPT
#iptables -A OUTPUT -p gre -o $interfaceWWW -j ACCEPT
#on autorise les connexions sortantes sur le VPN
iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT
#on ouvre le port 1250 sur la connexion VPN pour accepter torrent que j'ai mis sur 1250
iptables -A INPUT -p TCP --dport 1250 -m state --state NEW -i $interfaceVPN -j ACCEPT
#on autorise les connexion sortante vers le 25 sur interfaceWWW
iptables -A OUTPUT -p TCP --dport 25 -m state --state NEW -o $interfaceWWW -j ACCEPT
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/$interfaceWWW/rp_filter
ip rule add fwmark 0x1 table connection
#on fait passer les connections SMTP sur la connection internet standard
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 25 -j MARK --set-mark 0x1
iptables -t nat -A POSTROUTING -o $interfaceWWW -p tcp -m multiport --dports 25 -j SNAT --to $localIP
}
stop() {
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
}
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop && start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esac
exit 0@+ et merci :-)
PC 4x Intel(R) Core(TM) i5-2320 CPU @ 3.00GHz Nvidia GeForce GTX560 Ubuntu Bionic 18.04.3 LTS--> uname -r -m = 4.15.0-72-generic x86_64 /// lsb_release -a =Ubuntu Bionic 18.04.3 LTS
Toshiba C70-B-33G --> 5.4.0-47-generic x86_64/ Ubuntu focal 20.04.1 LTS
Hors ligne
#632 Le 24/04/2012, à 08:57
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Hello
Je ne sais pas si ses règles vont marcher pour toi car moi j'analyse toujours mon réseau pour voir ce qui ne passe pas et ouvrir juste ce que j'ai besoin:
iptables -A INPUT -i $interfaceWWW -m pkttype --pkt-type broadcast -j ACCEPT
iptables -A OUTPUT -m pkttype --pkt-type unicast -d 224.0.0.0/4 -j ACCEPTHors ligne
#633 Le 24/04/2012, à 11:09
- bhubuntu
Re : Connexion VPN automatique (NetworkManager)
@ mastergb
Je vois que tu es revenu de vacances 
merci de ta réponse, mais hélas ça ne change rien !
Il doit bien y avoir un moyen de trouver par où il passe ce foutu scan: tout ce que je connais c'est son adresse fixée en wifi à 192.168.1.14
D'ailleurs le blocage du parefeu ne vient-il pas du fait que le scan est connecté en wifi au réseau de la box?
Je sens bien que mes questions s'éloignent de vpnautoconnect peut-être faudrait-il se retrouver sur un nouveau thread sur "iptable et scanner"?
@+ et merci :-)
PC 4x Intel(R) Core(TM) i5-2320 CPU @ 3.00GHz Nvidia GeForce GTX560 Ubuntu Bionic 18.04.3 LTS--> uname -r -m = 4.15.0-72-generic x86_64 /// lsb_release -a =Ubuntu Bionic 18.04.3 LTS
Toshiba C70-B-33G --> 5.4.0-47-generic x86_64/ Ubuntu focal 20.04.1 LTS
Hors ligne
#634 Le 24/04/2012, à 13:09
- mastergb
Re : Connexion VPN automatique (NetworkManager)
@ mastergb
Je vois que tu es revenu de vacances
merci de ta réponse, mais hélas ça ne change rien !
Il doit bien y avoir un moyen de trouver par où il passe ce foutu scan: tout ce que je connais c'est son adresse fixée en wifi à 192.168.1.14
D'ailleurs le blocage du parefeu ne vient-il pas du fait que le scan est connecté en wifi au réseau de la box?
Je sens bien que mes questions s'éloignent de vpnautoconnect peut-être faudrait-il se retrouver sur un nouveau thread sur "iptable et scanner"?
Bon on va arreter d'essayer de deviner et aller directement a l'essentiel.
il va falloir que tu enregistre les flux ...
Install tshark
sudo apt-get install tsharkpuis sans VPN
fait un
sudo tshark -i toninterfacelan -w /tmp/dumpSansVPNUtilise ton périphérique puis arrete le dump
Prend les droits dessus
chown monutilisateur /tmp/dumpSansVPNpour pouvoir deplacer le fichier si besoin
Fait la même opération avec des nom de fichier differents une fois le vpn connecté en dumpant l'interface LAN (en essayant d'utiliser ton péripheique)
Puis l'interface dump l'interface VPN en essayant d'utiliser ton périphérique.
Envoi moi les 3 DUMPS.
Par contre lors de ces dumps évite de laisser ouvert un navigateur ou logiciel qui puise sur le réseau car sinon les dumps vont être gros et plus certaines de tes informations personnelle pourrait être en clair et ça ne me regarde pas 
Je te dirais exactement ou ça bloque et comment le résoudre.
Dernière modification par mastergb (Le 24/04/2012, à 13:12)
Hors ligne
#635 Le 24/04/2012, à 16:01
- bhubuntu
Re : Connexion VPN automatique (NetworkManager)
DSL je me fais jeter d'entrée de jeu
sudo tshark -i 192.168.1.1 -w /tmp/dumpSansVPN
tshark: Lua: Error during loading:
[string "/usr/share/wireshark/init.lua"]:45: dofile has been disabled
Running as user "root" and group "root". This could be dangerous.
Capturing on 192.168.1.1
tshark: The capture session could not be initiated due to error getting information on pipe/socket: Permission denied
Comment contourner le problème?
@+ et merci :-)
PC 4x Intel(R) Core(TM) i5-2320 CPU @ 3.00GHz Nvidia GeForce GTX560 Ubuntu Bionic 18.04.3 LTS--> uname -r -m = 4.15.0-72-generic x86_64 /// lsb_release -a =Ubuntu Bionic 18.04.3 LTS
Toshiba C70-B-33G --> 5.4.0-47-generic x86_64/ Ubuntu focal 20.04.1 LTS
Hors ligne
#636 Le 25/04/2012, à 10:08
- mastergb
Re : Connexion VPN automatique (NetworkManager)
J'ai mis "toninterfacelan" pas "toniplan"
Donc ca doit être un truc comme eth0 ou wlan0 etc... pas une ip
Hors ligne
#637 Le 25/04/2012, à 10:16
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Juste par curiosité. Quelqu'un a t'il essayé vpnautoconnect 2 sur la prochaine ubuntu qui sors demain??
De mon coté je mettrais a jour mon serveur de prod demain et corrigerai vpnautoconnect si besoin.
Hors ligne
#638 Le 25/04/2012, à 13:23
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Je vous dévoile quelques informations sur mon nouveau projet qui n'as pas encore de nom .
J'ai été pris de cours par un soft équivalent (windows) qui est sortie hier (ca arrive 
)
Pour les possesseurs de la neufbox, vous pourrez bientot apprécier de pouvoir manager votre box sur votre OS préféré
Hors ligne
#639 Le 25/04/2012, à 14:34
- lynn
Re : Connexion VPN automatique (NetworkManager)
Juste par curiosité. Quelqu'un a t'il essayé vpnautoconnect 2 sur la prochaine ubuntu qui sors demain??
Salut mastergb
Vpnautoconnect fonctionne sous Ubuntu 12.04. Je rencontre juste un petit souci avec la partie "gui". Elle plante de temps à autre. Je la relance manuellement et c'est reparti Comme je fais tourner cette version en VM, ça a peut-être un rapport...?!
«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»
Coluche
Hors ligne
#640 Le 25/04/2012, à 15:55
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Comme je fais tourner cette version en VM, ça a peut-être un rapport...?!
Pour moi aucun rapport
Hors ligne
#641 Le 25/04/2012, à 16:06
- lynn
Re : Connexion VPN automatique (NetworkManager)
mastergb, voici le texte qu'il me met de temps en temps.
Le daemon ne répond pas le programme va se fermer automatiquement
«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»
Coluche
Hors ligne
#642 Le 30/04/2012, à 08:18
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Hello,
Je vos confirme la parfaite compatibilité de vpnautoconnect 2 sur la derniere ubuntu
mastergb, voici le texte qu'il me met de temps en temps.
vpnautoconnect a écrit :Le daemon ne répond pas le programme va se fermer automatiquement
En fait j'ai deja eu le problème. Il se trouve que l'interface graphique demarre un chouilla plus vite que le demon. C'est rare mais ca arrive. je vais fournir un flag de demarrage pour attendre le demon
edit: Je viens ajouter le flag --waitdstart a mettre sur le gui pour être sur que le demon soit demaré Disponible dans la prochaine version. J'ajoute deux trois trucs que les gens ont demandé et je sors une petite update dans quelques jours
Dernière modification par mastergb (Le 30/04/2012, à 10:37)
Hors ligne
#643 Le 01/05/2012, à 10:55
- mastergb
Re : Connexion VPN automatique (NetworkManager)
La version 2.1.0 est envoyé sur les serveurs ppa.
Normalement dispo d'ici une heure
J'ai change le fonctionnement pour ton bug lynn. Par default le soft attendra le demon 5 secondes.
Si on veut pas qu'il check c'est l'option --nowaitdstart mais ya aucune raison que quelqu'un utilise ce flag un jour ^^
Dernière modification par mastergb (Le 01/05/2012, à 10:57)
Hors ligne
#644 Le 02/05/2012, à 09:48
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Petite parenthèse: http://monvpn.com/vpnautoconnect.html
Voila comment certain se font de l'argent sur le nom et la popularité d'un logiciel open source.
Si quelqu'un a les compétences juridiques pour régler ce genre de problème je suis preneur
Hors ligne
#645 Le 02/05/2012, à 17:03
- Ansuz
Re : Connexion VPN automatique (NetworkManager)
Salut Manu,
La toile c'est véritablement la jungle, et visiblement certains ne manquent vraiment pas d'air, ni de scrupules !
"Mieux vaut ne rien savoir que beaucoup savoir à moitié !" Friedrich Nietzsche
Hors ligne
#646 Le 02/05/2012, à 20:07
- LaBiode
Re : Connexion VPN automatique (NetworkManager)
Bonsoir à tous !
Je tente actuellement de configurer un serveur Ubuntu connecté à un VPN (OpenVPN). Cependant je rencontre des difficultés avec la configuration du VPN et surtout avec iptables pour autoriser seulement quelques ports sur les interfaces réseaux etho et tun0.
Pour être plus précis, voici un listing de ce que j'aimerai réaliser suivant l'interface réseau.
Commun aux deux interfaces :
Navigation Web (HTTP/HTTPS).
Etho :
Connexion au VPN,
Serveur HTTP,
SSH,
Plus d'autres applications ajoutées au fur et à mesure des besoins.
VPN :
Uniquement le protocol torrent via Deluge sur les ports 56321 à 56421.
Voici mon script parfeu inspiré du post #78 :
#!/bin/sh
#
# Script de dérrage qui lance l'interface réau internet
interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.XXX"
network="192.168.1.0/24" # IP/Mask => 24 eq to 255.255.255.0
vpnPort="1194"
torrentPortStart="56321"
torrentPortEnd="56421"
start() {
# Dans cette partie, on met en place le firewall
echo "---------------------------------------"
echo "Firewall configuration..."
echo "---------------------------------------"
echo " "
#vidage des chaines
echo 'Delete all previous rules'
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -Z INPUT
iptables -Z OUTPUT
iptables -Z FORWARD
#destruction des chaines personnelles
#stratégies par défaut
echo 'Block all'
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo 'Enable local loop'
# boucle locale :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo 'Enable all established connections'
#on autorise toutes les connexion déjà etablies
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
### ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
### SSH
echo "Enable SSH"
iptables -A INPUT -p tcp --dport 22 -i $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -o $interfaceWWW -j ACCEPT
### SMTP
echo "Enable SMTP"
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
### HTTP
echo "Enable HTTP"
iptables -A INPUT -i $interfaceWWW -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $interfaceWWW -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
### HTTPS
echo "Enable HTTPS"
iptables -A INPUT -i $interfaceWWW -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $interfaceWWW -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
### DHCP
echo 'Enable DHCP'
iptables -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
### DNS
echo 'Enable DNS'
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
### OpenVPN
echo 'Enable OpenVPN'
iptables -A INPUT -p tcp --sport $vpnPort -j ACCEPT
iptables -A OUTPUT -p tcp --dport $vpnPort -j ACCEPT
iptables -A INPUT -p udp --sport $vpnPort -j ACCEPT
iptables -A OUTPUT -p udp --dport $vpnPort -j ACCEPT
### VPNTunnel.se
echo 'Enable VPNTunnel.se'
iptables -A INPUT -p tcp --sport 10010 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 10010 -j ACCEPT
iptables -A INPUT -p udp --sport 10010 -j ACCEPT
iptables -A OUTPUT -p udp --dport 10010 -j ACCEPT
iptables -A INPUT -p tcp --sport 10020 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 10020 -j ACCEPT
iptables -A INPUT -p udp --sport 10020 -j ACCEPT
iptables -A OUTPUT -p udp --dport 10020 -j ACCEPT
### All Output on VPN
#echo 'Enable all output on '$interfaceVPN
#iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT
### Deluge
echo 'Enable Deluge on '$interfaceVPN
iptables -t filter -A INPUT -p tcp --dport $torrentPortStart:$torrentPortEnd -m state --state NEW -i $interfaceVPN -j ACCEPT
#Forward all HTTP & HTTPS connection on etho
echo 'Forward all HTTP & HTTPS connection on' $interfaceWWW
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 80,443 -j MARK --set-mark 0x1
iptables -t nat -A POSTROUTING -o $interfaceWWW -p tcp -m multiport --dports 80,443 -j SNAT --to $localIP
#LOG
iptables -A INPUT -j LOG
echo 'FireWall configurated !'
}
stop() {
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
}
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop && start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esacLa navigation web ne fonctionne pas lorsque le VPN est connecté.
De plus, le client torrent voient tous ses ports comme fermés alors qu'ils ne devraient pas l'être :
iptables -t filter -A INPUT -p tcp --dport $torrentPortStart:$torrentPortEnd -m state --state NEW -i $interfaceVPN -j ACCEPTDonc rien passe à ce niveau là aussi...
N'hésitez pas à me faire des remarques s'il y a des règles en doubles,manquantes ou inutiles.
Question annexe : savez-vous comment supprimer la confirmation du "déverrouillage du trousseau de connexion" au démarrage?
Merci de votre aide,
LaBiode
Hors ligne
#647 Le 03/05/2012, à 20:24
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Bonsoir à tous !
Je tente actuellement de configurer un serveur Ubuntu connecté à un VPN (OpenVPN). Cependant je rencontre des difficultés avec la configuration du VPN et surtout avec iptables pour autoriser seulement quelques ports sur les interfaces réseaux etho et tun0.
Pour être plus précis, voici un listing de ce que j'aimerai réaliser suivant l'interface réseau.
Commun aux deux interfaces :
Navigation Web (HTTP/HTTPS).
Etho :
Connexion au VPN,
Serveur HTTP,
SSH,
Plus d'autres applications ajoutées au fur et à mesure des besoins.
VPN :
Uniquement le protocol torrent via Deluge sur les ports 56321 à 56421.
Voici mon script parfeu inspiré du post #78 :
#!/bin/sh # # Script de dérrage qui lance l'interface réau internet interfaceWWW="eth0" interfaceVPN="tun0" localIP="192.168.1.XXX" network="192.168.1.0/24" # IP/Mask => 24 eq to 255.255.255.0 vpnPort="1194" torrentPortStart="56321" torrentPortEnd="56421" start() { # Dans cette partie, on met en place le firewall echo "---------------------------------------" echo "Firewall configuration..." echo "---------------------------------------" echo " " #vidage des chaines echo 'Delete all previous rules' iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -Z INPUT iptables -Z OUTPUT iptables -Z FORWARD #destruction des chaines personnelles #stratégies par défaut echo 'Block all' iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP echo 'Enable local loop' # boucle locale : iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT echo 'Enable all established connections' #on autorise toutes les connexion déjà etablies iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ### ICMP iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT ### SSH echo "Enable SSH" iptables -A INPUT -p tcp --dport 22 -i $interfaceWWW -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -o $interfaceWWW -j ACCEPT ### SMTP echo "Enable SMTP" iptables -A INPUT -p tcp --dport 25 -j ACCEPT ### HTTP echo "Enable HTTP" iptables -A INPUT -i $interfaceWWW -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $interfaceWWW -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT ### HTTPS echo "Enable HTTPS" iptables -A INPUT -i $interfaceWWW -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $interfaceWWW -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT ### DHCP echo 'Enable DHCP' iptables -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT ### DNS echo 'Enable DNS' iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT ### OpenVPN echo 'Enable OpenVPN' iptables -A INPUT -p tcp --sport $vpnPort -j ACCEPT iptables -A OUTPUT -p tcp --dport $vpnPort -j ACCEPT iptables -A INPUT -p udp --sport $vpnPort -j ACCEPT iptables -A OUTPUT -p udp --dport $vpnPort -j ACCEPT ### VPNTunnel.se echo 'Enable VPNTunnel.se' iptables -A INPUT -p tcp --sport 10010 -j ACCEPT iptables -A OUTPUT -p tcp --dport 10010 -j ACCEPT iptables -A INPUT -p udp --sport 10010 -j ACCEPT iptables -A OUTPUT -p udp --dport 10010 -j ACCEPT iptables -A INPUT -p tcp --sport 10020 -j ACCEPT iptables -A OUTPUT -p tcp --dport 10020 -j ACCEPT iptables -A INPUT -p udp --sport 10020 -j ACCEPT iptables -A OUTPUT -p udp --dport 10020 -j ACCEPT ### All Output on VPN #echo 'Enable all output on '$interfaceVPN #iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT ### Deluge echo 'Enable Deluge on '$interfaceVPN iptables -t filter -A INPUT -p tcp --dport $torrentPortStart:$torrentPortEnd -m state --state NEW -i $interfaceVPN -j ACCEPT #Forward all HTTP & HTTPS connection on etho echo 'Forward all HTTP & HTTPS connection on' $interfaceWWW iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 80,443 -j MARK --set-mark 0x1 iptables -t nat -A POSTROUTING -o $interfaceWWW -p tcp -m multiport --dports 80,443 -j SNAT --to $localIP #LOG iptables -A INPUT -j LOG echo 'FireWall configurated !' } stop() { iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F } case "$1" in start) start ;; stop) stop ;; restart) stop && start ;; *) echo "Usage $0 {start|stop|restart}" exit 1 esacLa navigation web ne fonctionne pas lorsque le VPN est connecté.
De plus, le client torrent voient tous ses ports comme fermés alors qu'ils ne devraient pas l'être :iptables -t filter -A INPUT -p tcp --dport $torrentPortStart:$torrentPortEnd -m state --state NEW -i $interfaceVPN -j ACCEPTDonc rien passe à ce niveau là aussi...
N'hésitez pas à me faire des remarques s'il y a des règles en doubles,manquantes ou inutiles.
Question annexe : savez-vous comment supprimer la confirmation du "déverrouillage du trousseau de connexion" au démarrage?
Merci de votre aide,
LaBiode
Bon je vais être dur mais ton firewall ne sers a rien On passe a travers en 2 sec :S
Je te corrige tout.
Si je comprend bien tu veux aussi filtrer les sorties??
Dernière modification par mastergb (Le 03/05/2012, à 21:05)
Hors ligne
#648 Le 03/05/2012, à 21:00
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Voila ca devrait marcher. Il ya peut etres des erreurs de syntaxe car j'ai pas testé mais au pire c facile a corriger.
#!/bin/sh
#
# Script de dérrage qui lance l'interface réau internet
interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.XXX"
network="192.168.1.0/24" # IP/Mask => 24 eq to 255.255.255.0
vpnPort="1194"
torrentPortStart="56321"
torrentPortEnd="56421"
start() {
# Dans cette partie, on met en place le firewall
echo "---------------------------------------"
echo "Firewall configuration..."
echo "---------------------------------------"
echo " "
#vidage des chaines
echo 'Delete all previous rules'
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -Z INPUT
iptables -Z OUTPUT
iptables -Z FORWARD
#destruction des chaines personnelles
#stratégies par défaut
echo 'Block all'
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo 'Enable local loop'
# boucle locale :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Un conseil... Accepte le reseau local :)
iptables -A INPUT -s $network -j ACCEPT
iptables -A OUTPUT -d $network -j ACCEPT
iptables -A FORWARD -s $network -j ACCEPT
echo 'Enable all established connections'
#on autorise toutes les connexion déjà etablies
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
### ICMP
iptables -A OUTPUT -p icmp -j ACCEPT
#ouverture du surf sur l'interface www
iptables -A OUTPUT -p TCP --dport 80 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 443 -m state --state NEW -o $interfaceWWW -j ACCEPT
### SSH
echo "Enable SSH"
iptables -A OUTPUT -p TCP --dport 22 -m state --state NEW -o $interfaceWWW -j ACCEPT
### SMTP
echo "Enable SMTP"
iptables -A OUTPUT -p TCP --dport 25 -m state --state NEW -o $interfaceWWW -j ACCEPT
### DNS (on a deja accepter le local et si tu a installé bind9...)
#echo 'Enable DNS'
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -o $interfaceWWW -j ACCEPT
#les serveurs ajoute en plus si besoin
iptables -A INPUT -p TCP -m multiport --dports 80 -m state --state NEW -i $interfaceWWW -j ACCEPT
### OpenVPN
echo 'Enable OpenVPN'
iptables -A OUTPUT -p TCP -m multiport --dports $vpnPort,10010,10020 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports $vpnPort,10010,10020 -m state --state NEW -o $interfaceWWW -j ACCEPT
### All Output on VPN
#echo 'Enable all output on '$interfaceVPN
#iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT
### Deluge
echo 'Enable Deluge on '$interfaceVPN
#sincerement un seul port suffit pour BT en entrée...
iptables -A INPUT -p TCP --dport $torrentPortStart:$torrentPortEnd -m state --state NEW -i $interfaceVPN -j ACCEPT
#si je comprend bien tu veux uniquement surfer sur l'interface www???,
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/$interfaceWWW/rp_filter
#assure toi d'avoir rempli la rt_table!!
ip rule add fwmark 0x1 table connection
echo 'Forward all HTTP & HTTPS connection on' $interfaceWWW
#on oublie pas SMTP! Ca passe pas sur les connexion VPNs a cause de spams!
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 25,80,443 -j MARK --set-mark 0x1
iptables -t nat -A POSTROUTING -o $interfaceWWW -p tcp -m multiport --dports 25,80,443 -j SNAT --to $localIP
#LOG
iptables -A INPUT -j LOG
echo 'FireWall configurated !'
}
stop() {
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
}
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop && start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esacTon post n'etait pas très clair donc j'ai un peu essayer de deviner tes besoins.
Il manque encore des choses.
Les routes. Regarde dans les post précédant mais sans ça le serveur apache ne marchera pas quand tu connectera le vpn.
Petite question : tu ne veux que bittorent sur la connexion VPN? car la dans ce cas la les connexions sortantes sont autorisé. et donc tout peut sortir... Pour être plus restrictif la ca va etre compliqué pour bittorent...
Dernière modification par mastergb (Le 03/05/2012, à 21:07)
Hors ligne
#649 Le 04/05/2012, à 18:23
- LaBiode
Re : Connexion VPN automatique (NetworkManager)
Je tiens à te remercier pour ta réponse.
Pourrais-tu m'expliquer pourquoi ma configuration iptables était une vrai passoire, pour ne pas reproduire mes erreurs et surtout les comprendre ?
De plus, que veux-tu dire par :
#assure toi d'avoir rempli la rt_table!!
Il s'agit de cette ligne?
ip rule add fwmark 0x1 table connexionEt surtout qu'elle est son rôle? Je suis prenneur si tu as un tutoriel à ce sujet et aussi sur celui de ip tables.
Pour le DNS, je n'ai pas compris non plus.
Je peux utiliser un DNS interne pour éviter d'exposer mon ip public?
Je ferai quelques recherches à l'occasion sur BIND9.
J'ai adapté la correction que tu as fait, hésites pas à me dire s'il y a encore des trucs louches, en tout cas ça l'air de fonctionner comme je le souhaite.
Ps : j'ai autorisé le HTTP et le HTTPS sur le VPN aussi, je vais voir si celà est genant pour le bittorrent. Si c'est le cas là, j'autoriserai toutes les sorties sur le VPN.
#!/bin/sh
#
# Initialize connection
### Setting var
interfaceWWW="eth0"
interfaceVPN="tun0"
localIP="192.168.1.XXX"
network="192.168.1.0/24" # IP/Mask => 24 eq to 255.255.255.0
vpnPort="1194"
torrentPortInput="56401"
torrentPortStart="56321"
torrentPortEnd="56421"
torrentWebUI="56320"
start() {
echo "---------------------------------------"
echo "Firewall configuration..."
echo "---------------------------------------"
echo " "
echo 'Delete all previous rules'
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -Z INPUT
iptables -Z OUTPUT
iptables -Z FORWARD
### Default strategy
echo 'Block all'
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
### Local loop
echo 'Enable local loop'
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
### Local network
echo 'Enable local network'
iptables -A INPUT -s $network -j ACCEPT
iptables -A OUTPUT -d $network -j ACCEPT
iptables -A FORWARD -s $network -j ACCEPT
### Enable all established and related connections
echo 'Enable all established connections'
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
### ICMP
echo 'Enable ICMP'
iptables -A OUTPUT -p icmp -j ACCEPT
### Web navigation HTTP & HTTPS
echo 'Enable Web navigation'
iptables -A OUTPUT -p TCP --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p TCP --dport 443 -m state --state NEW -j ACCEPT
### SSH
echo "Enable SSH"
iptables -A OUTPUT -p TCP --dport 22 -m state --state NEW -o $interfaceWWW -j ACCEPT
### SMTP
echo "Enable SMTP"
iptables -A OUTPUT -p TCP --dport 25 -m state --state NEW -o $interfaceWWW -j ACCEPT
### DNS (on a deja accepter le local et si tu a installé bind9...) TODO modify it?
echo 'Enable DNS'
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -o $interfaceWWW -j ACCEPT
### Serveur add others here :
### Apache, SSH
iptables -A INPUT -p TCP -m multiport --dports 80,22 -m state --state NEW -i $interfaceWWW -j ACCEPT
### Deluge WebUI
iptables -A INPUT -p TCP --dport $torrentWebUI -m state --state NEW -i $interfaceWWW -j ACCEPT
### OpenVPN
echo 'Enable OpenVPN'
iptables -A OUTPUT -p TCP -m multiport --dports $vpnPort,10010,10020 -m state --state NEW -o $interfaceWWW -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports $vpnPort,10010,10020 -m state --state NEW -o $interfaceWWW -j ACCEPT
### All Output on VPN
#echo 'Enable all output on '$interfaceVPN
#iptables -A OUTPUT -m state --state NEW -o $interfaceVPN -j ACCEPT
### Deluge
echo 'Enable Deluge on '$interfaceVPN
iptables -A INPUT -p TCP --dport $torrentPortInput -m state --state NEW -i $interfaceVPN -j ACCEPT
iptables -A OUTPUT -p TCP --sport $torrentPortStart:$torrentPortEnd -m state --state NEW -o $interfaceVPN -j ACCEPT # Sinon pas de connexions possibles ..
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/$interfaceWWW/rp_filter
ip rule add fwmark 0x1 table connection
echo 'Forward SMTP connection on' $interfaceWWW
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 25 -j MARK --set-mark 0x1
iptables -t nat -A POSTROUTING -o $interfaceWWW -p tcp -m multiport --dports 25 -j SNAT --to $localIP
#LOG
iptables -A INPUT -j LOG
echo 'FireWall configurated !'
}
stop() {
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
}
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop && start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esac Sais-tu comment désactiver la demande à chaque démarrage du "déverrouillage du trousseau de connexion" nécessaire à la connection VPN?
Afin que ceci soit fait automatiquement?
Encore merci pour ton aide mais aussi pour ton logiciel VPNautoconnect qui est très pratique.
La Biode.
Hors ligne
#650 Le 04/05/2012, à 20:05
- mastergb
Re : Connexion VPN automatique (NetworkManager)
Je tiens à te remercier pour ta réponse.
Pourrais-tu m'expliquer pourquoi ma configuration iptables était une vrai passoire, pour ne pas reproduire mes erreurs et surtout les comprendre
au hasard (il y en a plein d'autre ^^)
iptables -A INPUT -p tcp --sport 10010 -j ACCEPTtu autorise en entrée les paquets dont le port source est le 10010
Donc un nmap -g 10010 me permet de contourner et de voir tes ports ouvert...
Pire... un nc -g 10010 me permet d'acceder a n'importe quel ports de ta machine..
Je ne connais pas la personne qui a fait ce site mais je le trouve relativement bien expliqué
http://olivieraj.free.fr/fr/linux/infor … 03-06.html
http://olivieraj.free.fr/fr/linux/infor … 03-07.html
Il s'agit de cette ligne?
ip rule add fwmark 0x1 table connexion
Et surtout qu'elle est son rôle? Je suis prenneur si tu as un tutoriel à ce sujet et aussi sur celui de ip tables.
Non la rt_table est un fichier de définition qui associe un nom à un numero (entre 1 et 255)
Le fichier se trouve ici: /etc/iproute2/rt_tables
ensuite pour chaque définition tu peut associe une passerele par default etc....
Cela te permet de faire passer des paquets par un endroit plutôt qu'un autre. Regarde le post #78.
Sinon ce que tu as complété ne me choque pas ce sont tes choix. Je suis perplexe dans ton utilisation de plage de port pour deluge.
Enfin pour le trousseau il faut que tu refuse l'encryption du trousseau la première fois qu'il te l'as demandé.
Donc c'est rapé ^^ : Tu peut effacer le contenu de ~/.gnome2/keyrings mais tu devra reparametrer tes connexion VPN dans networkManager
Dernière modification par mastergb (Le 04/05/2012, à 20:06)
Hors ligne