4 votes

Redirection IP Linux pour OpenVPN - configuration correcte du pare-feu ?

J'ai OpenVPN qui fonctionne sur une machine Linux. Le serveur VPN a une adresse IP publique (x.x.x.x) et les clients VPN se voient attribuer des adresses sur le périphérique "tun" en 10.8.0.0 \24. J'ai une règle IPTables pour masquer le NAT 10.8.0.0. \24 sur l'adresse IP publique.

Pour faire fonctionner le serveur VPN, j'ai dû activer la redirection d'IP (j'ai donc défini net.ipv4.conf.default.forwarding=1).

... En d'autres termes, il s'agit exactement de ce que le tutoriel OpenVPN indique de faire, sans aucun artifice.

Tout cela fonctionne, mais je suis préoccupé par l'activation de la redirection. I piense en la machine transmettra désormais les paquets de n'importe quelle adresse IP à n'importe quelle adresse IP, ce qui ne semble pas approprié. Comme il a une IP accessible au public, c'est particulièrement mauvais.

Y a-t-il des suggestions de règles de pare-feu pour limiter le comportement de transfert indésirable ? Je pense que toute réponse sera une ou plusieurs règles IPTables dans la chaîne FORWARD, mais c'est là que je suis bloqué.

Merci !

6voto

Saurabh Barjatiya Points 4643

Si vous utilisez ces règles pour la table de transfert, tout devrait bien se passer.

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -j REJECT

Vous pouvez mettre les règles dans le fichier /etc/sysconfig/iptables et redémarrer le pare-feu. Pour l'essai en ligne de commande, faites d'abord

 iptables -F 

pour supprimer le rejet par défaut du trafic de transfert et ajouter 'iptables' devant chacune des trois règles ci-dessus.

0voto

mreggen Points 2940

Voici un sous-ensemble de ce que j'ai mis en place sur ma passerelle openvpn :

iptables -A FORWARD -i tun0 -o tun0 -j ACCEPT # vpn to vpn
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT # vpn to ethernet
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT # ethernet to vpn

Notez que ce n'est qu'un sous-ensemble ; le reste de la règle fait des choses standard de NAT.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X