Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration iptables et OpenVPN

Frodomo

Bonjour à tous,

Voilà j'ai configuré OpenVPN sur mon petit raspberry pi.
Tout fonctionne à merveille sauf quand je veux configurer iptables.
J'utilise le script suivant :

#!/bin/bash

iptables -F

#Deny all other coms
iptables -P FORWARD DROP
iptables -P INPUT DROP

#Allow all coms from private network
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

#Allow coms for openVPN
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0 -o eth0 -j MASQUERADE
iptables -A INPUT -p udp --dport 1194 -j ACCEPT

#Accept packets belonging to established and related connections
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Accept coms for localhost
iptables -A INPUT -i lo -j ACCEPT

#Accept all coms out
iptables -P OUTPUT ACCEPT

Et là dès que j'applique, je n'ai plus accès au web depuis mon client OpenVPN et mon PC qui est sur mon réseau local ne peut plus se connecter en SSH.
L'ajout de la règle suivante permet de résoudre le dernier problème mais j'aurais aimé pouvoir n'y accéder que depuis le réseau local.

iptables -t filter -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

Si quelqu'un aurait une idée pour résoudre le problème de web et de SSH je lui serais très reconnaissant 🙂

Merci à vous !

lynn

Bonjour,

Un sujet qui me rappelle quelque chose... Peut-être une piste par ici..?!

Frodomo

Bonjour Lynn !

Merci pour ta réponse.

Si j'ai bien suivi le post vers lequel tu m'as orienté, le problème était un problème de routage ?

Là j'ai vraiment l'impression que ça vient de la config d'iptables. Car avant d'appliquer le script, tout fonctionne bien.

Alex Ample

La règle SSH port 22, il faut la placer avant la ligne INPUT DROP;

pires57

La règle SSH port 22, il faut la placer avant la ligne INPUT DROP;

certainement pas ...
@Frodomo: pourrais tu fournir une sorte de schéma rapide de ton réseau histoire de vérifier ?

Frodomo

Salut,

merci pour vos réponses.

Je sais pas trop quoi te donner comme information.
J'ai mon raspberry avec l'adresse ip 192.168.1.99 que j'essaie d'accéder depuis mon PC portable avec l'adresse IP 192.168.1.92

PS: le problème du web est résolu, il manquait le masque de sous réseau à la ligne iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Alex Ample

Essaye de placer une règle iptables -I INPUT ? -i lo -j ACCEPT
( -I et pas -A ), en mettant le bon chiffre à la place du ? pour modifier l’ordre des règles, et voir ce qui marche, la règle placée au dessus est celle qui fait autorité.

Essaye aussi de bouger la règle SSH de la même façon.

Un bricolage parfois conseillé est d’abord de faire la règle à problème puis d’installer le script ensuite, le tien ne semble pas très académique, il aurait mieux valu que tu acceptes tout ( input output forward ), puis faire tes règles pour les flux autorisés, et enfin bloquer le reste.

Gufw tu connais ?...

Frodomo

Je suis un peu perdu sur l'ordre dans lequel doivent-etre appliqués les règles.
Les règles par défaut puis les règles spécifiques ensuite ou l'inverse ?

Alex Ample

Frodomo a écritJe suis un peu perdu sur l'ordre dans lequel doivent-etre appliqués les règles.
Les règles par défaut puis les règles spécifiques ensuite ou l'inverse ?

Si tu installes des politiques avec -P, tu vas avoir par exemple INPUT DROP, si tu ajoutes tes règles INPUT ou OUTPUT avec -A, elles vont s’ajouter à celles ci, elles vont autoriser ou bloquer, le reste du trafic INPUT ou OUTPUT restant interdit grâce à la politique -P définie, le danger c’est de faire des règles qui se contredisent ou s’annulent, du fait de leur syntaxe ou de leur rang mal placé.

Une autre méthode comme dit plus haut est d’avoir une politique INPUT ACCEPT ( ou FORWARD ou OUTPUT ), d’ajouter ses propres règles INPUT avec -A, puis de bloquer tout le reste toujours avec -A, comme la règle placée le plus haut a la main, elles seront acceptées jusqu’aux dernières qui bloqueront le reste.

pires57

Si tu installes des politiques avec -P, tu vas avoir par exemple INPUT DROP, si tu ajoutes tes règles INPUT ou OUTPUT avec -A, elles vont s’ajouter à celles ci, elles vont autoriser ou bloquer, le reste du trafic INPUT ou OUTPUT restant interdit grâce à la politique -P définie, le danger c’est de faire des règles qui se contredisent ou s’annulent, du fait de leur syntaxe ou de leur rang mal placé.

Une autre méthode comme dit plus haut est d’avoir une politique INPUT ACCEPT ( ou FORWARD ou OUTPUT ), d’ajouter ses propres règles INPUT avec -A, puis de bloquer tout le reste toujours avec -A, comme la règle placée le plus haut a la main, elles seront acceptées jusqu’aux dernières qui bloqueront le reste.

Les règles ne bloqueront que ce qui est défini, tu parles de Input / Output mais si je spécifie la table Mangle elle ne bloquera aucune des deux tables que tu cites ...
Le paramètre -P te permet de définir une politique, ce sera le comportement par défaut de ton firewall. Dans ton cas, tu as opté pour une politique DROP par défaut donc la suite du processus reviens à ouvrir les ports qui te seront nécessaire.
L'option -A (append) te permet effectivement de d'ajouter à la fin d'une chaîne une nouvelle règle, en revanche je ne conseille pas d'opter pour une méthode de type ACCEPT puis DROP à la dernière ligne parce que ce genre de configuration est sujette aux embrouilles.
Je m'explique :
J'exécute tout un tas de règles puis je termine par mon drop. Super, mon serveur fonctionne, mes règles sont OK mais 3 mois plus tard j'installe un nouveau service nécessitant un nouveau port (45500 par exemple), que ce passera t'il si j’exécute une commande iptables avec l'option -A afin d'autoriser ce port? Et bien il ne se passera rien du tout parce qu'une fois la règle de DROP avec l'option -A atteinte le paquet sera rejetté purement et simplement.
Alors bien sur il existe un moyen de rajouter des règles en sautant ce problème (option -I) mais c'est franchement moins pratique que de définir une policy de drop et d'ouvrir ce qui doit l'être.

Pour ton SSH, tu devra donc ajouter une règle pour l'ouvrir :

iptables -A INPUT -p tcp -i ethX --dport ssh -j ACCEPT

Si tu souhaite le restreindre pour un seul réseau / adresse il te faudra utiliser l'option "-s" et si tu souhaite également restreindre l'interface (cas d'un serveur avec plusieurs cartes réseau ) l'option "-i")

Frodomo

Super merci pour cette réponse c'est largement plus clair maintenant.
Mais du coup j'ai déjà la règle suivante de précisée :

iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

qui est la toute première règle, donc je pense pas qu'il y ai de soucis à ce niveau.

pires57

Que renvois

iptables -L

Alex Ample

Scanne tes ports avec Nmap dans le réseau local, si le 22 apparaît fermé, c'est que le service n'est pas démarré.

" iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT "
Ta plage " 192.168.0.0/255.255.255.0 " est impossible à scanner, essaye plus simple, " 192.168.1.0/24 " pour commencer.

pires57

Scanne tes ports avec Nmap dans le réseau local, si le 22 apparaît fermé, c'est que le service n'est pas démarré.

Ta plage " 192.168.0.0/255.255.255.0 " est impossible à scanner, essaye plus simple, " 192.168.1.0/24 " pour commencer.

Quel intérêt de scanner une adresse réseau?
il faut scanner l'adresse IP du serveur (raspberry pi) mais rien ne te dit que le serveur n'est pas protégé contre ce type de scan (Portsentry par exemple).
Je ne vois pas vraiment l'intérêt de faire un scan de port alors que le serveur est sous la main ...
Que renvois

ssh -V

netstat -tlnpu |grep ssh

robindesbois

pires57 a écrit Que renvois

ssh -V

netstat -tlnpu |grep ssh

Hello, juste pour dire que je mets les lettres autrement pour créer un moyen mnémotechnique pour cette ligne netstat (sans la fonctione grep ssh pour moi chaque jour) :

Pour voir les services (serveur), je me plains (je dépose une plainte au serveur car je n'ai plus de bière) :

# netstat -plunt

Et pour voir les connexions établies (une fois que j'ai ma pinte de bière, la connexion est établie), je fais :

# netstat -punt

Voilà.

Frodomo

Le service ssh est actif puisque j'y accède avant d'appliquer les règles iptables

pires57

Je te demande des infos précise que tu ne donne pas. Je ne vois pas comment je vais pouvoir t'aider. . dans ton premier poste tu parle de ssh dopenvpn ... A l'heure actuel je ne sais toujours pas a quoi ressemble ton réseau, qui a quel IP ... Tu ne donne aucune info ! Je te demande le retour d'une commande iptables que tu ne renvois pas. Comment veut tu que je t'aide? Je suis pas un magicien. Hein je ne vois pas ta config exacte dans une boule de cristal !

Frodomo

désolé

le retour de la première commande est le suivant :

OpenSSH_6.7p1 Raspbian-5+deb8u3, OpenSSL 1.0.1t  3 May 2016

et netstat:

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      612/sshd        
tcp6       0      0 :::22                   :::*                    LISTEN      612/sshd

pires57

iptables -L

Alex Ample

Frodomo a écritLe service ssh est actif puisque j'y accède avant d'appliquer les règles iptables

" tcp 0 0 0.0.0.0:22 0.0.0.0:* "

Il n'est pas actif sur une IP locale précise ( 0 0.0.0.0 ) mais à disposition, si tu scannais avec Nmap on verrait clairement l'état du port 22, netstat c'est du bricolage.

Page suivante »