Forum Linux.débutant VPN + iptables

Posté par Marotte ⛧ le 18 juin 2013 à 18:48. Licence CC By‑SA.

Étiquettes :

juin

2013

Bonjour,

En bon newbie j'utilise FirewallBuilder pour écrire mes règles de filtrage. Depuis peu j'ai accès à un VPN. Ça marche au poil, j'ai adapté mes règles iptables afin d'utiliser le VPN, ça fonctionne c'est cool. Seul problème (le seul identifié jusque là…) c'est la connexion à GMail depuis mon client de messagerie. Je me fais jeter à chaque fois que je change d'IP, c'est normal, je comprends le but et je n'ai qu'à m'identifier sur le webmail pour être débloqué, mais c'est chiant.

Ce que je voudrais donc faire c'est permettre à certains protocoles de communiquer sans passer par le VPN.

Cela me semble plus compliqué à faire que ce que je pensais. Pour ce que j'ai vu jusque là, il s'agirait d'avoir deux tables de routages distinctes mais je n'ai pas une idée précise de comment faire cela.

Est-ce que quelqu'un fait ça, comment ? J'attends vos idées et suggestions. Idéalement je souhaiterais pouvoir faire ça à partir de FirewallBuilder qui me semble-t-il permet également de mettre en place ces tables de routage (en plus des règles iptables). Je sais déjà qu'on peut indiquer au client openvpn de ne pas automatiquement configurer le routage quand il se connecte.

# table de routage

Posté par NeoX le 18 juin 2013 à 20:14. Évalué à 3.

en fait quand tu actives le VPN, souvent TOUT le trafic passe dedans.

ce qu'il te faut c'est changer la route par defaut pour n'y faire passer que les trafics qui en ont besoin.
ou bien creer une route specifique pour les IPs vers google qui ne passeraient alors pas dans le vpn.

man ip
ou
man route
- [^] # Re: table de routage
  
  Posté par Marotte ⛧ le 18 juin 2013 à 22:20. Évalué à 2.
  C'est pas exactement ce que je voulais faire, j'aurais voulu plutôt choisir la route (via ou hors VPN) selon le protocole, mais merci ça marche comme ça. Je n'ai pas réussi à ajouter les routes dans le script de configuration de mon firewall en utilisant FirewallBuilder (je pense que je ne peux pas ajouter des routes supplémentaires, je dois écrire une table de routage complète, enfin je crois…)
  
  J'ai donc ajouté les cinq lignes suivantes dans /etc/rc.local juste après l'exécution du script de configuration du firewall :
```
ip route add 173.194.78.108  via 192.168.0.1 dev eth0
ip route add 173.194.78.109  via 192.168.0.1 dev eth0
ip route add 46.228.39.154   via 192.168.0.1 dev eth0
ip route add 212.82.111.223  via 192.168.0.1 dev eth0
ip route add 193.251.214.116 via 192.168.0.1 dev eth0
```
  Les adresses sont les deux GMail, les deux Yahoo et celle de LaPoste.net que m'indique la commande host lancée sur les 3 serveurs IMAP. 192.168.0.1 c'est la box.
  
  Le seul serveur IMAP que l'utilisation d'un VPN n'a pas l'air de gêner c'est celui de mon FAI : Numericable. Ils ont pas l'air au top niveau sécurité, pas d'accès SSL, et pas de vérification de l'IP d'origine donc…
  
  Pensez-vous que ces IP peuvent être amenées à changer ? Quelle probabilité ?
  
  Merci NeoX.
  - [^] # Re: table de routage
    
    Posté par NeoX le 19 juin 2013 à 07:59. Évalué à 2.
    
    mettre 173.194.0.0/16 pour google, ca englobera youtube, gmail, drive, play etc
    
    pour les autres fourniesseurs, aucune idée.
    - [^] # Re: table de routage
      
      Posté par Marotte ⛧ le 19 juin 2013 à 11:01. Évalué à 2.
      
      Oui OK. Je vois effectivement que l'adresse IP de imap.gmail.com n'est pas toujours la même.
      
      Je vais quand même essayer de trier selon le protocole. En fait pour être honnête je voudrais éviter qu'un certain protocole d'échange de fichier puisse passer hors VPN…
      
      Là si j'ai un pair à l'intérieur de ce réseau (173.194.0.0/16) ça va passer hors VPN :/
      - [^] # Re: table de routage
        
        Posté par NeoX le 19 juin 2013 à 11:03. Évalué à 3.
        
        tu veux dire qu'un de tes pairs seraient une machine hostée chez google/youtube/gmail/picasa ?
        
        [^] # Re: table de routage
        
        Posté par Marotte ⛧ le 19 juin 2013 à 11:11. Évalué à 2.
        
        Oui. C'est possible en théorie non ?
# Routage sélectif

Posté par Kerro le 19 juin 2013 à 00:38. Évalué à 1.

Le principe est de mettre en place une table de routage différente selon le marquage des paquets.
Il te faut donc une règle pour marquer les paquets voulus.
Soit par port de destination.
Soit par programme émetteur.
Soit par adresse destination, mais ça se fait avec l'exemple que tu donnes plus haut.
Soit par ce que tu veux (trafic issu d'une machine virtuelle, bref, tout ce que peut marquer ipfilter).

Tu peux marquer tous les paquets (soit vers Internet direct, soit vers le VPN).
Ou tu peux marquer un seul côté.

Tu as un exemple tout cuit ici pour les ports 80 et 443.
- [^] # Re: Routage sélectif
  
  Posté par Marotte ⛧ le 19 juin 2013 à 01:00. Évalué à 2.
  
  Merci. Ça a l'air un peu compliqué (en tous cas pour moi car j'ai jamais fait) mais j'ai compris le principe, je regarde ça un de ces quatre.
- [^] # Re: Routage sélectif
  
  Posté par Marotte ⛧ le 19 juin 2013 à 14:10. Évalué à 2.
  
  Visiblement je peux le faire avec FirewallBuilder : http://www.fwbuilder.org/4.0/docs/users_guide5/tag-rules.shtml
  
  Je pense que je vais refaire une configuration de mon firewall depuis 0 en essayant d'utiliser le plus possible mon cerveau. J'ai vraiment besoin d'affiner mes connaissances en firewalling !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.