4 votes

Utilisateur non enregistré avatar

Redirection IP Linux pour OpenVPN - configuration correcte du pare-feu ?

Demandé el 11 de Juillet, 2009
Quand la question a-t-elle été
26282 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai OpenVPN qui fonctionne sur une machine Linux. Le serveur VPN a une adresse IP publique (x.x.x.x) et les clients VPN se voient attribuer des adresses sur le périphérique "tun" en 10.8.0.0 \24. J'ai une règle IPTables pour masquer le NAT 10.8.0.0. \24 sur l'adresse IP publique.

Pour faire fonctionner le serveur VPN, j'ai dû activer la redirection d'IP (j'ai donc défini net.ipv4.conf.default.forwarding=1).

... En d'autres termes, il s'agit exactement de ce que le tutoriel OpenVPN indique de faire, sans aucun artifice.

Tout cela fonctionne, mais je suis préoccupé par l'activation de la redirection. I piense en la machine transmettra désormais les paquets de n'importe quelle adresse IP à n'importe quelle adresse IP, ce qui ne semble pas approprié. Comme il a une IP accessible au public, c'est particulièrement mauvais.

Y a-t-il des suggestions de règles de pare-feu pour limiter le comportement de transfert indésirable ? Je pense que toute réponse sera une ou plusieurs règles IPTables dans la chaîne FORWARD, mais c'est là que je suis bloqué.

Merci !

Demandé el 11 de Juillet, 2009 par Utilisateur non enregistré

Réponses

Trop de publicités?

6voto

Saurabh Barjatiya avatar
Saurabh Barjatiya Points 4643

Si vous utilisez ces règles pour la table de transfert, tout devrait bien se passer.

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT

Vous pouvez mettre les règles dans le fichier /etc/sysconfig/iptables et redémarrer le pare-feu. Pour l'essai en ligne de commande, faites d'abord

 iptables -F

pour supprimer le rejet par défaut du trafic de transfert et ajouter 'iptables' devant chacune des trois règles ci-dessus.

Répondu el 11 de Juillet, 2009 par Saurabh Barjatiya (4643 Points )

0voto

mreggen avatar
mreggen Points 2940

Voici un sous-ensemble de ce que j'ai mis en place sur ma passerelle openvpn :

iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT # vpn to vpn
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT # vpn to ethernet
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT # ethernet to vpn

Notez que ce n'est qu'un sous-ensemble ; le reste de la règle fait des choses standard de NAT.

Répondu el 11 de Juillet, 2009 par mreggen (2940 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X