Re: Aide sur configuration d'IPtables dans un contexte OpenV…

トップ ページ

このメッセージに返信
著者: frederic ollivier
日付:  
To: guilde
題目: Re: Aide sur configuration d'IPtables dans un contexte OpenVPN
2009/11/4 Jerome Kieffer <jerome.Kieffer@???>:
> On Wed, 4 Nov 2009 20:42:33 +0100


Merci jérôme :)

>
> tu fais du NAT de NAT (un sur ta livebox, un sur ton serveur) ??? c'est
> moiyen propre non ?
>


oui et non :)

> tu as bien sur ton client openvpn une regle de routage:
> #route add -net 192.168.0.0/24 gw 10.8.0.4
>
>


il n'y a pas besoin c'est le serveur openvpn qui pousse la route à
prendre avec la directive de openvpn.conf :

server-bridge 10.8.0.4 255.2 55.255.0 10.8.0.50 10.8.0.100





> Sinon dans mon firewall j'ai cette regle pour les VPN qui sont agrégés
> avec le flux de la patte interne de mon serveur. C'est assez proche de
> ta config.
>
>
> Pour la compréhention:
> islay = serveur chez toi
> lan = 192.168.0.0/24 sur eth1
> ext = 192.168.1.0/24


ok

>
> vpn() {
> #tester l'existance de l'interface,
> #si oui ajouter au chaines VPN
> #le VPN a les mêmes droite que le LAN
> for IF in $IFACE_VPN;
> do
>    $IFCONFIG $IF 2>&1 >/dev/null
>    if [ $? ] ;
>    then
>        $IPTABLES -A OUTPUT  -o $IF -j islay-lan
>        $IPTABLES -A INPUT   -i $IF -j lan-islay
>        $IPTABLES -A FORWARD -i $IF -j lan-ext
>        $IPTABLES -A FORWARD -o $IF -j lan-ext
>    fi
> done
> }
>


je comprends pas tes variables lan-ext et lan-islay


> peux tu utiliser les en fin de firewall log ? (j'utilise ulog pour
> séparer du kernel)
>



>
> echo -n "On loggue des autres paquets"
> $IPTABLES -A ext -p tcp -j uLOG --ulog-prefix 'tcp DROP '
> $IPTABLES -A ext -p tcp -j DROP
> echo -n .
> $IPTABLES -A ext -p udp -j ULOG --ulog-prefix 'udp DROP '
> $IPTABLES -A ext -p udp -j DROP
>


merci, je vais rajouter les logs ca permettra de voir plus clair.

>
> Hope this helps (c'est pas sur)
> --


si si :)

> Jérôme KIEFFER
> http://www.terre-adelie.org



--
Frédéric Ollivier

http://lmc.ac-grenoble.fr/~dieu/