Comment bien configurer le pare-feu pour OpenVPN?
Résolu
narsene -
Bonjour tous le monde,
J'ai un serveur OpenVPN installer sur une machine virtuelle tournant sous Ubuntu Server 22.04 LTS. Quand je me connecte à celui-ci, je suis capable d'avoir accès aux autres hôtes sur le réseau local le côté serveur.
Comment configurer le par-feu pour restreindre seulement l'accès à interne et bloquer l'accès aux hôtes présent sur le réseau ainsi que la passerelle ?
Je ne suis un expert en pare-feu. J'ai fait des recherches sur Internet et je n'ai pas pu trouver exactement ce que je cherchais.
Par contre, beaucoup de questions portent sur bloquer l’accès à Internet sur le côté serveur et restreindre l'accès aux hôtes sur le réseau local seulement.
Moi, c'est le contraire que je cherche. J'ai trouvé une discussion (en anglais) https://serverfault.com/questions/250927/how-do-i-block-access-to-lan-through-openvpn/250948#250948 portant sur ce que je cherche à faire.
En ajustant les paramètres de la syntaxe pour les faire concorder avec ma configuration réseau, je parviens à restreindre l'accès aux autres hôtes sur le côté serveur mais, cela bloque en même temps l'accès à internet.
Si quelqu’un saurait comment procéder de la bonne façon, merci de partager avec moi et ceux cherchant pour la même solution,
Cordialement,
Guillaume
- Comment bien configurer le pare-feu pour OpenVPN?
- Comment configurer chromecast - Guide
- Configurer et restaurer - Guide
- Configurer chromecast usine - Guide
- Télécharger feu de cheminée sur clé usb - Forum TV & Vidéo
- Tapez cette phrase, en respectant bien les espaces et la ponctuation. - Guide
2 réponses
Bonjour,
En considérant que :
- Les clients VPN se trouvent dans le réseau 10.8.0.0/24
- Le LAN côté serveur est 192.168.1.0/24
Il suffit alors d'écrire une règle bloquant les paquets « de 10.8.0.0/24 vers 192.168.1.0/24 ».
Je te laisse le soin de traduire cela en une règle iptables.
Si cela ne fonctionne pas, tu peux partager l'ensemble de tes règles actives, que tu peux obtenir avec « iptables -S ».
Si tu as besoin d'une référence complète :
https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
Salut,
J'ai consulté le tutoriel du lien et je ne comprend pas vraiment comment faire, je suis nul en firewall. En aucun cas je voudrais briser mon système parce-que je ne sais ce que je suis entrain de faire.
C'est pourquoi je vous demande svp si c'est possible de me montré la règle iptables que je doit implanter. J’apprécierais vraiment.
Je voudrais pas essayer n’importe quoi sans savoir le résultats.
Merci,
Guillaume
Bonjour,
Les règles iptables ajoutées depuis l'outil « iptables » ne sont pas permanentes. En cas d'erreur, il suffit de redémarrer ton système.
Une fois la règle validée, tu devras la rendre permanente. Lors de l'installation de OpenVPN, tu dois certainement avoir configué quelque-part une liste de règles iptables qui s'appliquent au démarrage du système ou du serveur OpenVPN.
Tu trouveras des exemples proches de ce qu'il te faut ici :
https://www.cyberciti.biz/faq/how-to-use-iptables-with-multiple-source-destination-ips-addresses/
Salut,
J’essaie ça:
mais ce qui ce trouve sur le port 8006 charge toujours.
Ceci est la fin de /etc/ufw/before.rules
Guillaume
Bonjour,
Idéalement, ton pare-feu devrait aussi contrôler les redirections entre interfaces dans la table "filter". Aussi, l'ordre des règles à une importance, si un paquet est accepté (-j ACCEPT) par une règle, les règles suivantes ne seront pas prises en compte.
Tu peux utiliser « -I » au lieu de « -A » pour insérer une règle au-dessus des autres, ou préciser son numéro.
Ceci devrait fonctionner, si "tun0" est l'interface OpenVPN sur le serveur :
Bonjour,
La première règle est tout simplement invalide, que vient faire "192.168.2.2" après DROP ?
Et oui tu peux bloquer sur base de l'IP de destination, dans ce cas, inutile de charger les matchs tcp.