Comment bien configurer le pare-feu pour OpenVPN?

Résolu/Fermé

guillaumegilbertsoucy Messages postés 326 Date d'inscription vendredi 11 octobre 2013 Statut Membre Dernière intervention 4 juillet 2023 - Modifié le 19 sept. 2022 à 20:16
narsene - 6 sept. 2023 à 11:21

Bonjour tous le monde,

J'ai un serveur OpenVPN installer sur une machine virtuelle tournant sous Ubuntu Server 22.04 LTS. Quand je me connecte à celui-ci, je suis capable d'avoir accès aux autres hôtes sur le réseau local le côté serveur.

Comment configurer le par-feu pour restreindre seulement l'accès à interne et bloquer l'accès aux hôtes présent sur le réseau ainsi que la passerelle ?

Je ne suis un expert en pare-feu. J'ai fait des recherches sur Internet et je n'ai pas pu trouver exactement ce que je cherchais.

Par contre, beaucoup de questions portent sur bloquer l’accès à Internet sur le côté serveur et restreindre l'accès aux hôtes sur le réseau local seulement.

Moi, c'est le contraire que je cherche. J'ai trouvé une discussion (en anglais) https://serverfault.com/questions/250927/how-do-i-block-access-to-lan-through-openvpn/250948#250948 portant sur ce que je cherche à faire.

En ajustant les paramètres de la syntaxe pour les faire concorder avec ma configuration réseau, je parviens à restreindre l'accès aux autres hôtes sur le côté serveur mais, cela bloque en même temps l'accès à internet.

Si quelqu’un saurait comment procéder de la bonne façon, merci de partager avec moi et ceux cherchant pour la même solution,

Cordialement,
Guillaume

A voir également:

Comment bien configurer le pare-feu pour OpenVPN?
Comment configurer chromecast - Guide
Configurer et restaurer - Guide
Configurer foyer netflix - Guide
Koh lanta le feu sacré streaming - Forum Cinéma / Télé
Configurer chromecast usine - Guide

2 réponses

Réponse 1 / 2

avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 4 497
17 sept. 2022 à 18:33

Bonjour,

En considérant que :

Les clients VPN se trouvent dans le réseau 10.8.0.0/24
Le LAN côté serveur est 192.168.1.0/24

Il suffit alors d'écrire une règle bloquant les paquets « de 10.8.0.0/24 vers 192.168.1.0/24 ».

Je te laisse le soin de traduire cela en une règle iptables.

Si cela ne fonctionne pas, tu peux partager l'ensemble de tes règles actives, que tu peux obtenir avec « iptables -S ».

Si tu as besoin d'une référence complète :
https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html

guillaumegilbertsoucy Messages postés 326 Date d'inscription vendredi 11 octobre 2013 Statut Membre Dernière intervention 4 juillet 2023 8
17 sept. 2022 à 19:05

Salut,

J'ai consulté le tutoriel du lien et je ne comprend pas vraiment comment faire, je suis nul en firewall. En aucun cas je voudrais briser mon système parce-que je ne sais ce que je suis entrain de faire.

C'est pourquoi je vous demande svp si c'est possible de me montré la règle iptables que je doit implanter. J’apprécierais vraiment.

Je voudrais pas essayer n’importe quoi sans savoir le résultats.

Merci,

Guillaume

avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024 4 497 > guillaumegilbertsoucy Messages postés 326 Date d'inscription vendredi 11 octobre 2013 Statut Membre Dernière intervention 4 juillet 2023
18 sept. 2022 à 01:13

Bonjour,

je voudrais briser mon système parce-que je ne sais ce que je suis entrain de faire.

Les règles iptables ajoutées depuis l'outil « iptables » ne sont pas permanentes. En cas d'erreur, il suffit de redémarrer ton système.

Une fois la règle validée, tu devras la rendre permanente. Lors de l'installation de OpenVPN, tu dois certainement avoir configué quelque-part une liste de règles iptables qui s'appliquent au démarrage du système ou du serveur OpenVPN.

Tu trouveras des exemples proches de ce qu'il te faut ici :
https://www.cyberciti.biz/faq/how-to-use-iptables-with-multiple-source-destination-ips-addresses/

guillaumegilbertsoucy Messages postés 326 Date d'inscription vendredi 11 octobre 2013 Statut Membre Dernière intervention 4 juillet 2023 8 > avion-f16 Messages postés 19246 Date d'inscription dimanche 17 février 2008 Statut Contributeur Dernière intervention 21 avril 2024
Modifié le 18 sept. 2022 à 04:26

Salut,

J’essaie ça:

iptables -A INPUT -s 10.8.0.0/24 -d 192.168.2.0/24 -p tcp --dport 8006 -j DROP

mais ce qui ce trouve sur le port 8006 charge toujours.

Ceci est la fin de /etc/ufw/before.rules

# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0 (change to the interface you discovered!)
-A POSTROUTING -s 10.8.0.0/8 -o ens18  -j MASQUERADE
COMMIT
# END OPENVPN RULES

Guillaume

Bonjour,

Idéalement, ton pare-feu devrait aussi contrôler les redirections entre interfaces dans la table "filter". Aussi, l'ordre des règles à une importance, si un paquet est accepté (-j ACCEPT) par une règle, les règles suivantes ne seront pas prises en compte.

Tu peux utiliser « -I » au lieu de « -A » pour insérer une règle au-dessus des autres, ou préciser son numéro.

Ceci devrait fonctionner, si "tun0" est l'interface OpenVPN sur le serveur :

sudo iptables -I FORWARD -i tun0 -p tcp --dport 8006 -j REJECT

Bonjour,

La première règle est tout simplement invalide, que vient faire "192.168.2.2" après DROP ?

Et oui tu peux bloquer sur base de l'IP de destination, dans ce cas, inutile de charger les matchs tcp.

Réponse 2 / 2

narsene
6 sept. 2023 à 11:21

bonjour j'ai besoin d'aider pour la configuration de mon serveur OpenVPN sous Ubuntu 22.04

Discussions similaires

cette phrase est elle correcte

Vérifier que le server freebox est bien connecté à internet

Arnaques sur annonce le bon coin

Par-feu qui bloque Google Chrome

proxy et pare feu

Discussions similaires

Newsletters