2009/11/4 Jerome Kieffer <jerome.Kieffer@???>:
> On Wed, 4 Nov 2009 20:42:33 +0100
Merci jérôme :)
>
> tu fais du NAT de NAT (un sur ta livebox, un sur ton serveur) ??? c'est
> moiyen propre non ?
>
oui et non :)
> tu as bien sur ton client openvpn une regle de routage:
> #route add -net 192.168.0.0/24 gw 10.8.0.4
>
>
il n'y a pas besoin c'est le serveur openvpn qui pousse la route à
prendre avec la directive de openvpn.conf :
server-bridge 10.8.0.4 255.2 55.255.0 10.8.0.50 10.8.0.100
> Sinon dans mon firewall j'ai cette regle pour les VPN qui sont agrégés
> avec le flux de la patte interne de mon serveur. C'est assez proche de
> ta config.
>
>
> Pour la compréhention:
> islay = serveur chez toi
> lan = 192.168.0.0/24 sur eth1
> ext = 192.168.1.0/24
ok
>
> vpn() {
> #tester l'existance de l'interface,
> #si oui ajouter au chaines VPN
> #le VPN a les mêmes droite que le LAN
> for IF in $IFACE_VPN;
> do
> $IFCONFIG $IF 2>&1 >/dev/null
> if [ $? ] ;
> then
> $IPTABLES -A OUTPUT -o $IF -j islay-lan
> $IPTABLES -A INPUT -i $IF -j lan-islay
> $IPTABLES -A FORWARD -i $IF -j lan-ext
> $IPTABLES -A FORWARD -o $IF -j lan-ext
> fi
> done
> }
>
je comprends pas tes variables lan-ext et lan-islay
> peux tu utiliser les en fin de firewall log ? (j'utilise ulog pour
> séparer du kernel)
>
>
> echo -n "On loggue des autres paquets"
> $IPTABLES -A ext -p tcp -j uLOG --ulog-prefix 'tcp DROP '
> $IPTABLES -A ext -p tcp -j DROP
> echo -n .
> $IPTABLES -A ext -p udp -j ULOG --ulog-prefix 'udp DROP '
> $IPTABLES -A ext -p udp -j DROP
>
merci, je vais rajouter les logs ca permettra de voir plus clair.
>
> Hope this helps (c'est pas sur)
> --
si si :)
> Jérôme KIEFFER
> http://www.terre-adelie.org
--
Frédéric Ollivier
http://lmc.ac-grenoble.fr/~dieu/