Forum Linux.général tor, vpn et iptables

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes : aucune
0
29
jan.
2017

Bonjour,

Administrateur amateur, je fait tourner un relais tor sur une machine. Cette même machine se connecte en vpn sur le net via son interface wifi.

Je cherche des règles iptables qui dirait au trafic de passer le port 9030 et 9001 en dehors du vpn.
Si vous avez deux minutes..

  • # route spécifique / redirection ?

    Posté par  (site Web personnel) . Évalué à 2.

    à voir selon l'architecture réseau

    Système - Réseau - Sécurité Open Source

    • [^] # Re: route spécifique / redirection ?

      Posté par  (site Web personnel) . Évalué à 1.

      le schéma est simple, la machine est connecté à un routeur Bouygues ou j'ai déjà fait la redirection des ports en ip statique.
      Le client openvpn est lancé par NetworkManager et j'ai quelque règles iptables pour le partage réseaux entre mes différentes interfaces; mais on s'en fout pour le problème.

      J'avais une veille règle qui traîné quand j'utilisais squid dans /etc/iptables/iptables.rules:

      -A PREROUTING -i wlp12s0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

      wlp12s0 étant l'interface relié au net, peut être peut-on modifié REDIRECT sur la bonne interface et le bon port, style:

      -A PREROUTING -i tun0 -p tcp -m tcp --dport 9001 -j REDIRECT $wlp12s0 --to-ports 9001

      Ce n'est que ma pauvre idée..

      • [^] # Re: route spécifique / redirection ?

        Posté par  . Évalué à 4.

        ca ne marchera pas,

        car ta regle n'etait valable que les pour les plus ENTRANT (-i) sur la carte wlp12s0
        donc c'etait uniquement les flux entrant sur la machine, à destination du port 80 qui etait renvoyer vers le port 3128

        donc ta nouvelle regle serait que les flux entrants,
        - sur l'interface tun0
        - sur le port 9001
        soit renvoyé vers wlp12s0, port 9001 ?

        pourquoi ?
        si ton service tourne sur le 9001 de l'interface internet,
        il tourne problement aussi sur tun0 (monté en fait sur 0.0.0.0:9001)
        si ce n'est pas le cas, modifie le reglage de ce service pour se lancer sur l'interface tun0 plutot que wlp12s0

        cela se verifie en faisant un
        netstat -puant | grep 9001

  • # iptables -t mangle -A OUTPUT ! --dest $LANIP -m owner --uid-owner $VPNUSER -j MARK --set-mark 0x1

    Posté par  (site Web personnel) . Évalué à 3.

    Voilà ta solution : faire passer les requêtes d'un utilisateur sur une interface réseau dédiée.

    L'idée est de marquer toutes les communications initiées par un utilisateur, puis d'appliquer une table de routage pour ces communications marquées.

  • # bonne directive

    Posté par  (site Web personnel) . Évalué à 1. Dernière modification le 29/01/17 à 18:08.

    Je vous remercie, vous m'avez mis sur la bonne piste.
    Plutôt que de passer par iptables, tor propose une directive dans son fichier de configuration que j'ai appliqué à la bonne adresse:
    OutboundBindAddress

    Maintenant le service est bien actif, vérification faite dans les logs et un nmap.
    Par contre aucune trace du port 9030 qui sert à déclarer le relai, que ce soit avec un netstat ou nmap en localhost. J'ai déclaré le port avec la variable: DirPort 9030.

    Mais lors du lancement du service j'ai un bon retour:

        janv. 29 16:52:14 lupus Tor[4932]: Bootstrapped 80%: Connecting to the Tor network
        janv. 29 16:52:14 lupus Tor[4932]: Guessed our IP address as 176.128.75.85 (source: 171.25.193.9).
        janv. 29 16:52:16 lupus Tor[4932]: Bootstrapped 85%: Finishing handshake with first hop
        janv. 29 16:52:16 lupus Tor[4932]: Bootstrapped 90%: Establishing a Tor circuit
        janv. 29 16:52:16 lupus Tor[4932]: Tor has successfully opened a circuit. Looks like client functionality is working.
        janv. 29 16:52:16 lupus Tor[4932]: Bootstrapped 100%: Done
        janv. 29 16:52:16 lupus Tor[4932]: Now checking whether ORPort monip:9001 and DirPort monip:9030 are reachable... (this may take up to 20 minu
        janv. 29 16:52:17 lupus Tor[4932]: Self-testing indicates your DirPort is reachable from the outside. Excellent.
        janv. 29 16:52:17 lupus Tor[4932]: Self-testing indicates your ORPort is reachable from the outside. Excellent. Publishing server descriptor.
        janv. 29 16:53:17 lupus Tor[4932]: Performing bandwidth self-test...done.

    J'ai lancé un tcpdump vitefait sur le port 9030 qui m'a sorti un paquet reçu filtré. A voir par la suite si le relais est déclaré.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.