Bonjour à tous,
Je viens vers vous après avoir fait plusieurs recherche.
J'utilise une VM avec debian 9, iptables-persistent et Open Vpn. Sur cette machine il y à docker avec 2/3 containers.
J'aimerais que la machine ne puisse plus accéder à internet si pour je ne sais quelle raison, openvpn n'arrive pas à se connecter au serveur ou tout simplement qu'il ne démarre pas. J'ai vu sur plusieurs forum qu'il était possible de passer par iptables. Donc j'ai essayé de composer le truc à ma sauce.
La machine est chez moi en local et j'accède à ssh en local.
Voici mon ip a :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 02:dc:2c:a2:23:1b brd ff:ff:ff:ff:ff:ff
inet 192.168.1.30/24 brd 192.168.1.255 scope global ens18
valid_lft forever preferred_lft forever
inet6 2a01:cb10:2bc:d800:dc:2cff:fea2:231b/64 scope global mngtmpaddr dynamic
valid_lft 1773sec preferred_lft 573sec
inet6 fe80::dc:2cff:fea2:231b/64 scope link
valid_lft forever preferred_lft forever
10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.7.2.2/24 brd 10.7.2.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::aeb3:68c2:9f42:a23e/64 scope link flags 800
valid_lft forever preferred_lft forever
Et voici le fichier iptables que j'ai composé :
# Fermeture de tout les ports sauf ceux indiqués plus bas
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Autorise Localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Communiquer avec n’importe quel serveur DHCP
iptables -A OUTPUT -d 255.255.255.255 -j ACCEPT
iptables -A INPUT -s 255.255.255.255 -j ACCEPT
# Communiquer au sein du réseau
iptables -A INPUT -s 192.168.1.1/24 -d 192.168.1.1/24 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.1/24 -d 192.168.1.1/24 -j ACCEPT
# Autoriser les sessions établies à recevoir du trafic:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Autoriser TUN0
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -A FORWARD -o tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A OUTPUT -o tun0 -j ACCEPT
# autoriser la connexion SSH
iptables -I INPUT 1 -p tcp --destination-port 22 -j ACCEPT
# Bloquer tout le reste
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
iptables -A FORWARD -j DROP
J'aimerais avoir votre avis avant de le mettre en pord et tout casser.
Merci et bonne soirée
Dernière modification par djjulian (09-06-2019 22:17:42)