Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 18-02-2018 22:50:20

Scrat
Membre
Distrib. : Debian Jessie 8.10
Noyau : Linux 4.9.0-0.bpo.5-amd64
(G)UI : Mate (1.8.0+9)
Inscription : 18-02-2018

Problème de configuration iptables pour controle parental + openVPN

Bonjour

Mon PC possède 2 interface réseaux eth0 (réseau local) et eth1 (raccordé à la box).
J'utilise OpenVPN sur 1 serveur OVH que j'administre.

Jusqu'ici tout fonctionne smile. Le problème est que j'ai des enfants qui grandissent et pour lesquels je voudrai ajouter un contrôle parental (squid + dansguardian).
Cette solution a déjà fonctionner avec mes plus grands enfants (mais sans le VPN).
J'ai donc des règles iptables, qui empêchent l'accès à internet si le groupe coink ne passent pas par le proxy.


    /sbin/iptables -t nat -A OUTPUT -p tcp -d 127.0.0.1 --dport 80 --match owner --gid-owner coink -j ACCEPT
    /sbin/iptables -t filter -A OUTPUT -p tcp --dport 3128 --match owner --gid-owner coink -j REJECT --reject-with tcp-reset
    /sbin/iptables -t filter -A OUTPUT -p tcp --dport 80 --match owner --gid-owner coink -j REJECT --reject-with tcp-reset
    /sbin/iptables -t filter -A OUTPUT -p tcp --dport 443 --match owner --gid-owner coink -j REJECT --reject-with tcp-reset
 

(le port 3128 c'est le port d'écoute de dansguardian).
Le problème est que avec le VPN les routes définit par openVPN, envoie le trafic sur l'interface du VPN puis dans iptables, du coup les règles ne s'appliquent plus


sudo route
Table de routage IP du noyau
Destination         Passerelle               Genmask             Indic   Metric Ref    Use Iface
default               10.8.0.1                 128.0.0.0             UG     0      0        0 tun0
default               XXX;XXX;XX.254    0.0.0.0                 UG     0      0        0 eth1        #adresse IP de la box)
10.8.0.0             *                          255.255.255.0       U       0      0        0 tun0
128.0.0.0            10.8.0.1               128.0.0.0              UG     0      0        0 tun0
xxxxx.xxx           XXX.XXX.XX.254  255.255.255.255   UGH   0      0        0 eth1        #nom de domaine et adresse IP de la box
XXX.XXX.XX.0     *                         255.255.255.0       U       0      0        0 eth1        #adresse IP de la box
XXX.XXX.XXX;0   *                         255.255.255.0       U       0      0        0 eth0        #adresse IP du PC
 



Si quelqu'un a une idée pour me dépêtrer de çà tongue
J'espère avoir mis toutes les infos nécessaire, mais si ils vous manquent quelque chose, n'hésitez pas à demander

Merci de m'avoir lu jusqu'au bout big_smile

Hors ligne

Pied de page des forums