Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration iptables et OpenVPN

Frodomo

iptables -L retourne ceci:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  10.8.0.0/24          anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere

pires57

@alex le retour est plus que précis. Netstat te dis clairement que le port 22 est en écoute sur 0.0.0.0 qui est une adresse réseau représentant internet. C'est toi le bricoleur, nmap est un outils de pentesting alors que netstat est un outils système... mais bien sur à condition de comprendre ses retours, ce qui n'est visiblement pas ton cas.
@Frodomo: je regarde les retours de tes commandes demain matin.
Ps: peut tu renvoyer les adresses ip de ton serveur et du poste avec lequel tu veut te connecter en ssh.
La commande a taper est

ifconfig -a

Alex Ample

Frodomo a écritiptables -L retourne ceci:

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  10.8.0.0/24          anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere

Frodomo, un port ouvert en écoute apparaît sur netstat comme ceci :

TCP 192.168.1.14:139 0.0.0.0:0 LISTENING 4

Une adresse locale 0.0.0.0 ça veut dire en gros « pour tous ceux que ça intéresse ».

Si tu avais utilisé Nmap on aurait pu savoir si le port est ouvert, fermé, ou filtré, et faire des corrections sans chercher dans les limbes, tu devrais refaire ton iptables, nettoie comme ceci et redémarre :

sudo iptables -F
sudo iptables -X

Dans ce topic tu as des infos pour faire quelque chose de correct.

Remarque : Iptables n’a aucune valeur particulière, le pare feu c’est Netfilter, ensuite avec Ubuntu 16.04 / systemd, si tu as réussi à l’installer préviens nous.

Tu devrais utiliser Gufw, tu n’aurais aucun ennui.

pires57

Je pense que ton soucis viens d'OpenVPN.
Les requêtes vers ton serveur ne semble pas venir de la plage d'adresse que tu as fourni (192.168.0.0/24).
Pour vérifier il va falloir être plus permissif et restreindre par la suite.
Rajoute cette règle à ton script iptables :

iptables -A INPUT -p tcp --dport ssh -s 10.8.0.0/24,192.168.0.0/24 -j ACCEPT

elle va ouvrir ssh pour tout le range 10.8.0.0/24 et 192.168.0.0/24 dit moi si cela fonctionne.
Au niveau de ton script iptables, tu peut également incorporer la commande fourni par Alex_ample :

iptables -X

juste en dessous de

iptables -F

PS : GUFW est une interface graphique à UFW, le serveur étant un raspberry Pi je suppose qu'il n'a pas installé d'interface graphique mais pourrais éventuellement utiliser UFW.

Frodomo

La ligne suivante n'apporte aucune amélioration.

iptables -A INPUT -p tcp --dport ssh -s 10.8.0.0/24,192.168.0.0/24 -j ACCEPT

pour ce qui est du résultat des ipconfig les voici:
serveur

eth0      Link encap:Ethernet  HWaddr b8:27:eb:d0:e6:be  
          inet addr:192.168.1.99  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::b420:b868:de01:8ac5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:94 errors:0 dropped:0 overruns:0 frame:0
          TX packets:108 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:7704 (7.5 KiB)  TX bytes:12938 (12.6 KiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:200 errors:0 dropped:0 overruns:0 frame:0
          TX packets:200 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:16656 (16.2 KiB)  TX bytes:16656 (16.2 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

client

Carte Ethernet Ethernet :

   Suffixe DNS propre à la connexion. . . : lan
   Description. . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Adresse physique . . . . . . . . . . . : DC-4A-3E-F3-7A-42
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv6 de liaison locale. . . . .: fe80::9923:cd41:b300:d774%5(préféré)
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.1.92(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : jeudi 6 octobre 2016 21:45:04
   Bail expirant. . . . . . . . . . . . . : mercredi 12 octobre 2016 18:35:59
   Passerelle par défaut. . . . . . . . . : 192.168.1.254
   Serveur DHCP . . . . . . . . . . . . . : 192.168.1.254
   IAID DHCPv6 . . . . . . . . . . . : 64768574
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-1E-39-CE-77-DC-4A-3E-F3-7A-42
   Serveurs DNS. . .  . . . . . . . . . . : 2001:4860:4860::8888
                                       2001:4860:4860::8844
                                       8.8.8.8
                                       8.8.4.4
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

pires57

En conclusion tu as repris un script iptables sans l'adapter a ta config réseau ... ne peut pas fonctionner correctement ...
remplace dans ton script toutes les valeurs

192.168.0.0

par

192.168.1.0

Frodomo

seulement cette ligne que j'avais récupéré sur un wiki. j'avais un doute dessus mais sans plus. Et c'est ça en effet, le problème venait de là. merci !

robindesbois

Frodomo a écritseulement cette ligne que j'avais récupéré sur un wiki. j'avais un doute dessus mais sans plus. Et c'est ça en effet, le problème venait de là. merci !

D'où l'utilité de répondre précisément et le plus rapidement possible aux questions posées par les aidants, si tu avais donné ta config réseau tout de suite et les retours de commandes ça aurait été beaucoup plus vite. Enfin on s'en fout, je cherche pas à te culpabiliser ou autres conneries psychologiques à la mord-moi-le-noeud, juste que si tu rencontres d'autres soucis sur d'autres thèmes ou sur celui-là, le mieux et de faire ce que les autres demandent dans l'immédiat, sans se poser de questions, la rapidité d’exécution des aidants sera fulgurante... Bam, prends ça madame... Boum, dans l'loucoume, PPif, dans l'pif, paf, dans la caf... Allo ? Allo quoi... ??

Nabila ? t'es là ?? Ah ah mais non, c'est l'autre gros c** d'Ronbindesbois ah ah ah !!! Je t'ai bien eu 😉

Ho la la, il est temps d'aller au lit quoi... :- P

jlmas

Bon le sujet est résolu, mais ça pourra toujours servir à d'autres; Quelques remarques pour aider le debuggage

Plutôt que la commande

sudo iptables -L

Utilise la commande

sudo iptables -L -v

La nuance est dans la première colonne. Tu vas avoir le nombre de paquets qui correspondent aux règles iptables que tu as mis en place, très utile pour savoir quelle est la regle iptables qui s'occupe des paquets qui arrivent

autre truc lié

sudo iptables -Z

Ne fait rien d'autre que remettre les compteurs que tu vois avec -v à zéro

Donc

Modifier une règle iptables, puis mettre les compteurs iptables à zéro, puis lancer la connexion ssh et là tu verra assez simplement quelle règle s'occupe de tes paquets.

Autre truc avec le paquet iptables-persistent, tu peux stocker tes règles dans le fichier /etc/iptables/rules.v4 (pour l'IPv4) et elles seront lues lors du redémarrage du service iptables-persistent

Dans ce fichier, les règles s'écrivent comme ceci :

# Generated by iptables-save v1.4.21 on Mon Aug  1 14:30:14 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:835]
-A INPUT -p icmp -m comment --comment "000 accept all icmp" -j ACCEPT
-A INPUT -i lo -m comment --comment "005 accept all to lo interface" -j ACCEPT
-A INPUT -m comment --comment "010 accept related established rules" -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -m comment --comment "100 allow ssh" -m state --state NEW -j ACCEPT
-A INPUT -m comment --comment "998 drop all" -j DROP
-A OUTPUT -o lo -m comment --comment "020 accept all to lo interface" -j ACCEPT
COMMIT
# Completed on Mon Aug  1 14:30:14 2016

C'est un fichier fonctionnel (à priori, je l'ai nettoyé), les arguments -m comment, ne sont pas utiles, mais bien pratique et j'ai une politique par défaut en ACCEPT (contrairement à toi qui est en DROP). L’intérêt d'utiliser un fichier est que les règles iptables sont appliquées dans l'ordre du fichier, donc c'est très facile de monter ou de descendre une règle pour qu'elle s'applique avant ou après une autre avec un éditeur de texte.

robindesbois

-v...... Ou, comment, fliquer, Iptables... -Z.... (encore une fois je vais aller faire dodo, moi...)

Merci, je note l'astuce..

Salut..

« Page précédente