logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-02-2016 21:43:07

teeknofil
Membre
Distrib. : Debian 8.3
Noyau : Linux 3.16
(G)UI : Gnome 3.14
Inscription : 13-02-2016

IPTABLE et pptp ou openvpn

Salut,
bon je suis nul en iptable alors on rigole pas (j'en fais jamais), comment je peut autorisé mon interface eth0 à se connecter à un vpn pptp ou openvpn.
Merci d'avance.

Hors ligne

#2 13-02-2016 22:36:37

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : IPTABLE et pptp ou openvpn

Salut teeknofil,

Sur le forum, nous indiquons le caractère du matos et autres que nous utilisons dans la rubrique Profil/Infodistri que tu peux voir dans le bandeau de l'accueil.

Voilà le tuto qui le fait :
Voir le tuto : Trop cool d'indiquer son installation dans son profil ! smile

Ensuite, nous pourrons t'aider ou comprendre tes interventions rien qu'en lisant ce qui est indiqué sous ton pseudo sans avoir à te le demander à chaque fois.

C'est pas cool ça ? smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#3 13-02-2016 23:01:17

teeknofil
Membre
Distrib. : Debian 8.3
Noyau : Linux 3.16
(G)UI : Gnome 3.14
Inscription : 13-02-2016

Re : IPTABLE et pptp ou openvpn

Voilà, je suis baptisé.

Hors ligne

#4 13-02-2016 23:04:49

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn


# tronc commun minimum
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# DNS pour la résolution de nom
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

# PPTP
modprobe nf_conntrack_pptp
iptables -A OUTPUT -o eth0 -p tcp --dport 1723 -j ACCEPT

# OpenVPN en supposant que le serveur écoute sur le port par défaut 1194, en UDP ou TCP
iptables -A OUTPUT -o eth0 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 1194 -j ACCEPT


C'est un minimum, cela ne suffira pas à faire quoi que ce soit avec le VPN.
Et je suppose que tu as déjà les commandes pour tout interdire par défaut, sinon il ne sert à rien d'autoriser.

Dernière modification par raleur (14-02-2016 11:30:49)


Il vaut mieux montrer que raconter.

Hors ligne

#5 14-02-2016 09:50:49

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : IPTABLE et pptp ou openvpn

Peut être qu'il faut aussi autoriser ip/gre. D'après mes
souvenirs c'est ce protocole qui est utilisé par pptp.
L'udp, tcp et icmp étant d'autres protocoles
bâtis sur ip(voir dans /etc/protocols)

Hors ligne

#6 14-02-2016 11:27:47

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn

En effet PPTP utilise l'encapsulation GRE pour le tunnel proprement dit, le port TCP 1723 ne servant que pour la connexion de contrôle. Mais il ne devrait pas être nécessaire d'autoriser explicitement le protocole GRE si tous les paquets dans l'état ESTABLISHED ou RELATED sont acceptés et si le module nf_conntrack_pptp est chargé, ce que fait mon script (à condition de ne pas oublier de mettre -j ACCEPT dans les règles, voilà qui est corrigé). Ce module a pour fonction de reconnaître les paquets GRE liés à une connexion PPTP existante (donc autorisée) et à les classer dans l'état RELATED (pour le premier) et ESTABLISHED (pour les suivants).

Dernière modification par raleur (14-02-2016 13:04:22)


Il vaut mieux montrer que raconter.

Hors ligne

#7 14-02-2016 12:48:15

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : IPTABLE et pptp ou openvpn

Vraiment pratique ce module nf_conntrack_pptp avec le pare-feu des noyaux 2.2 (ça date tongue)
ça n'existait pas, du coup on était obligé d'accepter tous les paquets GRE…
Le pare-feu du noyau 2.2 n'était pas statefull…

Hors ligne

#8 25-02-2016 13:04:12

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : IPTABLE et pptp ou openvpn

Bonjour,
Quelle est la commande qui affiche le résultat en #4 ?

Je cherche ce que veut dire ce retour de dmesg :
[ 6523.129153] nf_conntrack: automatic helper assignment is deprecated and it will be removed soon. Use the iptables CT target to attach helpers instead.

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#9 25-02-2016 14:48:47

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn

Quel résultat en #4 ? Si tu parles du bloc de code dans mon message, c'est un script shell, pas un résultat affiché.

Concernant le message du noyau, il a été introduit par le commit suivant à partir du noyau Linux 3.5 :

commit a9006892643a8f4e885b692de0708bcb35a7d530
Author: Eric Leblond <eric@regit.org>
Date:   Wed Apr 18 11:20:41 2012 +0200

    netfilter: nf_ct_helper: allow to disable automatic helper assignment

    This patch allows you to disable automatic conntrack helper
    lookup based on TCP/UDP ports, eg.

    echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper

    [ Note: flows that already got a helper will keep using it even
      if automatic helper assignment has been disabled ]

    Once this behaviour has been disabled, you have to explicitly
    use the iptables CT target to attach helper to flows.

    There are good reasons to stop supporting automatic helper
    assignment, for further information, please read:

    http://www.netfilter.org/news.html#2012-04-03

    This patch also adds one message to inform that automatic helper
    assignment is deprecated and it will be removed soon (this is
    spotted only once, with the first flow that gets a helper attached
    to make it as less annoying as possible).


Le suivi de connexion (conntrack) a besoin de modules "helpers" pour certains protocoles complexes comme FTP, PPTP, SIP... mettant en jeu plusieurs connexions (commande et données). Pour chaque protocole pris en charge, le module s'appelle nf_conntrack_<protocole>.

Traditionnellement, ces helpers sont automatiquement associés aux connexions en fonction de critères prédéfinis en dur (ex : TCP/21 = FTP, TCP/1723 = PPTP, UDP/69 = TFTP, UDP/5060= SIP...) ou via le paramètre ports= du module correspondant. Une autre méthode consiste à associer explicitement un helper à une connexion avec la cible CT d'iptables, ce qui peut être utile quand on utilise un port non standard pour un protocole donné. Le commit ci-dessus permet de désactiver l'association automatique et de rendre obligatoire l'association explicite avec CT même pour les ports standard. Il ajoute aussi ce message pour prévenir que l'association automatique sera supprimée "bientôt". A ce jour je n'ai pas trouvé de commit de cette suppression annoncée.

Dernière modification par raleur (25-02-2016 14:49:41)


Il vaut mieux montrer que raconter.

Hors ligne

#10 25-02-2016 17:46:54

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : IPTABLE et pptp ou openvpn

roll 

Ma foi (de Michu), tout cela semble parfaitement clair !  smile

Mais je vais relire une deuxième fois si tu le permets,  ...  peut-être 3  .... ou 4 même.
Bon au moins je connais un nouveau mot : "commit". Et ça semble bien en rapport avec le fait que je viens de changer de FAI.

Je crois que ça va être plus simple si j'ouvre un fil sur la (ma) configuration des modems et ufw .

big_smile @+ big_smile

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#11 25-02-2016 20:14:32

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn

Y316 a écrit :

tout cela semble parfaitement clair


Tu me rassures, je craignais que mon explication soit un peu confuse.

Y316 a écrit :

au moins je connais un nouveau mot : "commit"


Cela désigne l'enregistrement d'une modification dans un système de gestion de version de logiciel comme Git qui est le logiciel utilisé pour gérer les sources du noyau Linux. A un commit correspond un "patch", un fichier qui décrit les différences dans les fichiers modifiés entre avant et après le commit.

Y316 a écrit :

ça semble bien en rapport avec le fait que je viens de changer de FAI


Non, rien à voir avec le FAI. Tu as ce message parce qu'un module helper de suivi de connexion a été chargé.
Si tu t'immisces dans cette discussion, je suppose qu'il s'agit de nf_conntrack_pptp ?

Dernière modification par raleur (25-02-2016 20:15:29)


Il vaut mieux montrer que raconter.

Hors ligne

#12 25-02-2016 21:35:30

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : IPTABLE et pptp ou openvpn

Je suis arrivé ici en mettant "nf_conntrack" dans les moteurs de recherche de D-F.
J'ai tout ça comme nf_conntrak :

ls /proc/sys/net/netfilter/


nf_conntrack_acct                  nf_conntrack_tcp_loose
nf_conntrack_buckets               nf_conntrack_tcp_max_retrans
nf_conntrack_checksum              nf_conntrack_tcp_timeout_close
nf_conntrack_count                 nf_conntrack_tcp_timeout_close_wait
nf_conntrack_events                nf_conntrack_tcp_timeout_established
nf_conntrack_events_retry_timeout  nf_conntrack_tcp_timeout_fin_wait
nf_conntrack_expect_max            nf_conntrack_tcp_timeout_last_ack
nf_conntrack_frag6_high_thresh     nf_conntrack_tcp_timeout_max_retrans
nf_conntrack_frag6_low_thresh      nf_conntrack_tcp_timeout_syn_recv
nf_conntrack_frag6_timeout         nf_conntrack_tcp_timeout_syn_sent
nf_conntrack_generic_timeout       nf_conntrack_tcp_timeout_time_wait
nf_conntrack_helper                nf_conntrack_tcp_timeout_unacknowledged
nf_conntrack_icmp_timeout          nf_conntrack_timestamp
nf_conntrack_icmpv6_timeout        nf_conntrack_udp_timeout
nf_conntrack_log_invalid           nf_conntrack_udp_timeout_stream
nf_conntrack_max                   nf_log
nf_conntrack_tcp_be_liberal
 


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#13 25-02-2016 23:26:05

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn

Ce sont les paramètres de configuration du suivi de connexion du noyau. Pas grand-chose à voir avec ce dont je parlais, les modules helpers.
La liste des modules chargés est affichée avec la commande lsmod ou dans le fichier /proc/modules.

Pourquoi recherchais-tu "nf_conntrack" ?

Il vaut mieux montrer que raconter.

Hors ligne

#14 26-02-2016 00:06:19

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : IPTABLE et pptp ou openvpn

Pour savoir ce que cette ligne voulait dire :
[ 6523.129153] nf_conntrack: automatic helper assignment is deprecated and it will be removed soon. Use the iptables CT target to attach helpers instead.
Comme elle parle d'iptables, je pense que c'est lié à ma nouvelle configuration modem/ufw.
A l'origine, je cherche pourquoi je reçois en boucle ce message :
[29285.106131] [UFW BLOCK] IN=ppp0 OUT= MAC= SRC=167.114.37.1 DST=109.190.62.158 LEN=32 TOS=0x00 PREC=0x80 TTL=8 ID=1 DF PROTO=ICMP TYPE=8 CODE=0 ID=22230 SEQ=1
Comme j'ai bien retenu tes leçons, je sais que c'est :

IP Location     Canada Canada Beauharnois Ovh Hosting Inc.
ASN     Canada AS16276 OVH OVH SAS (registered Feb 15, 2001)
Resolve Host     netmon-1-bhs.ovh.ca
Whois Server     whois.arin.net
IP Address     167.114.37.1

qui veut rentrer par le modem. Je suis chez OVH.
Mais (pour l'instant) j'utilise l'ancien modem (orange). Le nouveau, il a plein de trucs qui clignottent et des boutons que je connais pas.
J'ai utilisé les indications du FAI pour configurer mais je ne suis pas certain d'avoir bien configuré UFW.


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#15 26-02-2016 00:16:31

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn

"Qui veut rentrer", c'est beaucoup dire. Qui t'envoie un ping (ICMP type 8), c'est tout. A quelle fréquence ?
A quoi correspond l'interface ppp0 ? VPN PPTP ou connexion ADSL en PPPoE sans routeur ?
EDIT : vu l'adresse destination, c'est plutôt ADSL. Et comme la source et la destination appartiennent à OVH, c'est peut-être simplement du monitoring.

Dernière modification par raleur (26-02-2016 00:20:28)


Il vaut mieux montrer que raconter.

Hors ligne

#16 26-02-2016 00:48:10

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : IPTABLE et pptp ou openvpn

Fréquence variable mais y'en a une quantité
connexion adsl PPPoE sans routeur. Configurée avec pppoeconf.

J'ai désactivé le ping dans /etc/ufw/before.rules.
Il faudrait aussi que j'active l'ipv6 chez le FAI.

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#17 26-02-2016 15:52:51

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn

D'après le reverse de l'adresse source auquel je n'avais pas fait attention, contenant "netmon", c'est juste de la surveillance (monitoring) du FAI. Un peu curieux, car il y a d'autres moyens de le faire au niveau PPP sans risque de blocage par un pare-feu.

Il vaut mieux montrer que raconter.

Hors ligne

#18 26-02-2016 19:56:31

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : IPTABLE et pptp ou openvpn

Et qu'est-ce que tu entends exactement par : "curieuse méthode de surveillance du FAI" ?

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#19 26-02-2016 20:41:47

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn

Ce que j'ai écris juste après : curieux parce qu'"il y a d'autres moyens de le faire au niveau PPP sans risque de blocage par un pare-feu".
Le monitoring avec ping est valable pour un serveur dédié, pour vérifier s'il répond au niveau IP, mais je n'en vois pas l'intérêt pour une connexion PPPoE alors que le sous-protocole LCP de PPP inclut nativement une demande d'écho indépendante de la couche IP. Si le pair ne répond pas à n demandes d'écho consécutives envoyées toutes les t secondes, on en déduit que la connexion est tombée.

Il vaut mieux montrer que raconter.

Hors ligne

#20 26-02-2016 21:00:32

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : IPTABLE et pptp ou openvpn

Et donc ?
On fait quoi dans ces cas la ?
On laisse pingguer  ?
On cherche dans les paramètres chez le FAI ?
Cela peut-il être en rapport avec l'IPV6 ? ou au dégroupage partiel ? au fait que je n'utilise pas leur modem ?

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#21 27-02-2016 11:17:08

raleur
Membre
Inscription : 03-10-2014

Re : IPTABLE et pptp ou openvpn

Tu fais ce que tu veux.
Tu peux autoriser ou non ces paquets, les logger ou non...
Cette surveillance est peut-être réglable dans les paramètres de connexion chez le FAI.
Je ne vois aucun rapport avec IPv6, ce paquet est en IPv4.
Je doute qu'il y ait un rapport avec le dégroupage, dans tous les cas le routeur de terminaison PPP (LNS L2TP en cas de non dégroupage ou dégroupage partiel ou concentrateur PPPoE en cas de dégroupage total) est géré par le FAI donc il peut utiliser LCP echo pour vérifier si la connexion est tombée.
Cette surveillance est peut-être prévue pour fonctionner avec le modem fourni par le FAI qui est configuré pour répondre au ping.

Il vaut mieux montrer que raconter.

Hors ligne

#22 27-02-2016 20:02:17

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : IPTABLE et pptp ou openvpn

smile  Merci raleur.  smile

Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

Pied de page des forums