Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Configuration Iptables

Lifesaver

Salut à tous,
Je viens de changer de PC, et je voudrais faire comme sur l'ancien : couper tout flux internet si le serveur VPN tombe.
Sur mes autres machines, je n'ai eu aucun soucis. Mais sur la nouvelle, j'ai voulu faire le cacou, j'ai bidouillé et désormais je ne peux plus changer correctement mes règles dans Iptables... 🙁
Pour commencer, Iptables-persistent n'est pas installé, /etc/iptables/ est vide, et ufw est inactif (vérifié dans son fichier conf)
Au démarrage, tout est OK, internet fonctionne à merveille, VPN en fonction ou non.
iptables -P OUTPUT DROP me coupe toute connexion sortante comme prévu
iptables -A OUTPUT -p udp -m multiport --dport 53,1194 -j ACCEPT pour autoriser le trafic sortant vers les serveurs openvpn et dns en protocole udp
iptables -A OUTPUT -o tun+ -j ACCEPT pour autoriser le trafic sortant via la connexion VPN
iptables -A OUTPUT -d 192.168.1.1/24 -j ACCEPT et iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT pour autoriser le trafic sur le réseau local (minidlna, imprimante wifi...)
service network-manager restart pour relancer la connexion
Rien ne fonctionne après cela, même pas moyen de revenir en arrière après un iptables -F puis iptables -X, obligé de rebouter.
Sur mes autres machines, les commandes fonctionnent nickel chrome, et avec iptables-persistent j'ai même sauvegardé ma configuration d'iptables, je ne pige pas ce que j'ai bien pu casser sur ma machine pour que ça ne fonctionne pas. Une idée ?

Lifesaver

Au redémarrage de la machine (tout fonctionne avec ou sans VPN) :

$ sudo iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Avec les règles citées plus haut (rien ne fonctionne, avec ou sans VPN) :

$ sudo iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  192.168.1.0/24       anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             multiport dports domain,openvpn
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             192.168.1.0/24

Après un iptables -F et iptables -X (rien ne fonctionne plus, avec ou sans VPN) :

$ sudo iptables -L

Chain INPUT (policy ACCEPT)                                                                                                                                                                                                                  
target     prot opt source               destination                                                                                                                                                                                         
                                                                                                                                                                                                                                             
Chain FORWARD (policy ACCEPT)                                                                                                                                                                                                                
target     prot opt source               destination                                                                                                                                                                                         
                                                                                                                                                                                                                                             
Chain OUTPUT (policy DROP)                                                                                                                                                                                                                   
target     prot opt source               destination

Lifesaver

Pour vous donner plus d'indices sur l'origine de mon problème, sachez que lorsque j'ai installé Kubuntu Bionic, j'ai configuré iptables et sauvegardé la config avec iptables-persistent sans aucun soucis sur ce même PC.
Cependant hier je me suis aperçu que iptables était complètement réinitialisé pour une raison inconnue, et que le killswitch n'était plus en fonction, autrement dit même si le serveur VPN tombait, je conservais internet contrairement à ce que je voulais.
Et donc depuis j'ai bidouillé sans succès, désinstallations-réinstallations, dpkg --configure de iptables, ufw, ainsi que iptables-persistent et netfilter-persistent (tout en sachant bien que l'origine du problème ne venait pas de là)

Lifesaver

Bon, j'en suis sur c'est la commande iptables -A OUTPUT -o tun+ -j ACCEPT qui merde...
Mais pourquoi ?

jlmas

Chain OUTPUT (policy DROP)

Des que tu tombes sur la politique de base, plus aucun paquet ne sort, C'est effectivement très très sécurisé 🙂, mais ça ne risque pas de fonctionner.

Je te conseille de mettre toutes tes policy iptables à ACCEPT et d'ajouter une ligne à la fin qui DROP tout ce qui n'est pas explicitement autorisé. Ce qui évite, quand tu fais un flush de tes iptables ( iptables -F ) de te retrouver coincé dehors, situation très amusante surtout sur un serveur distant.

exemple

-A INPUT -p icmp -m comment --comment "000 accept all icmp" -j ACCEPT 
-A INPUT -i lo -m comment --comment "005 accept all to lo interface" -j ACCEPT 
-A INPUT -m comment --comment "010 accept related established rules" -m state --state RELATED,ESTABLISHED -j ACCEPT 
  bla bla bla bla
-A INPUT -m comment --comment "998 drop all" -j DROP

De même pour les règles d'OUTPUT.
Note importante, n'oublie pas la ligne suivante, elle est fondamentale

-A INPUT -m comment --comment "010 accept related established rules" -m state --state RELATED,ESTABLISHED -j ACCEPT

Autoriser le loopback est aussi une bonne idée
NB : les commentaires ne sont pas indispensables, je trouve ça juste plus clair, mais c'est très optionnel.

Lifesaver

Je n'ai pas réussi à utiliser iptables sur 1 de mes 3 pc... C'est couillon, mais du coup j'ai configuré ufw et ça fonctionne 😉
Merci !

Lifesaver

Bon, j'ai du nouveau et c'est encore plus bizarre qu'avant... J'ai lancé une réinstall complète de Kubuntu et j'ai les mêmes problèmes avec Iptables, sur un seul de mes 3 PC... Donc exit les problèmes de bidouillage.
J'ai posté sur la partie Réseau du fofo pour tenter d'avoir plus de réponses...
https://forum.ubuntu-fr.org/viewtopic.php?id=2027525