Bonjour à tous,

Je souhaite savoir ce que vous pensez de mon iptables :

Et si utiliser cette config est le plus “sécurisé” pour une utilisation d’un simple VPN.
Client vers serveur pour surfer principalement. Merci. C’est la postrouting
qui me fait peur et que je ne comprends pas très bien (mais qui fonctionne .

Mise à 0

iptables -t filter -F
iptables -t filter -X
echo “mise a 0”

Interdiction

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP

echo “interdiction”

ne pas casser les connexions existantes

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#autorise le loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo “loopback”

SSH IN/OUT

iptables -t filter -A INPUT -p tcp --dport xxxx -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport xxxx -j ACCEPT

regles VPN

iptables -t filter -A INPUT -p tcp --dport xxxx -j ACCEPT
iptables -I INPUT -p udp -m udp --dport xxxxx -j ACCEPT
iptables -t nat -o venet0 -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to 34.59.156.$

Ce jeu de règles est censé être actif sur le client ou le serveur ? (Je penche pour le serveur)

Une remarque : -I dans un script d’initialisation des règles, c’est inutile et ça crée de la confusion. Mets plutôt la règle au bon endroit dans le script si nécessaire (ce qui n’est visiblement pas le cas ici).

grand merci pour la réponse,

actif sur le serveur, je m’en sers un peu de “firewall” aussi pour mon réseau local, je ne sais pas si c’est une bonne idée.

Je vais modifier le -I.

• Quid de la chaîne FORWARD ?
• Le serveur n’a pas besoin de faire des connexions sortantes autres que SSH pour ses propres besoins (résolution DNS, mises à jours de paquets…) ?

Humm …

Je ne suis pas informaticien, j’ai suivi une vidéo de tutoriels-video.fr/securiser … -rkhunter/
et j’ai donc les même règles que lui. L’idée c’est de savoir ce que cela vaut, je n’ai pas les compétences de les comprendre …

Ce que je souhaite c’est une config iptable qui me permet de d’utiliser le serveur comme vpn pour surfer … avec un “minimun de sécurité”. La config c’est une debian de base dont j’ai modifié les principes de bases comme dans le tuto, les ports ssh, le root, etc. Elle est simple et mise à jour.

Elle ne sert qu’au vpn.

L’ennui, c’est que ton serveur VPN n’est pas un simple serveur mais un routeur. En plus des paquets qu’il émet et reçoit pour lui même à travers les chaînes INPUT et OUTPUT, il retransmet aussi les paquets entre le VPN et l’extérieur à travers la chaîne FORWARD. Ton jeu de règles ne définit aucun filtrage pour ces derniers.

Tu n’as pas les compétences ? Et bien il va falloir les acquérir.

PS : si elle est à jour, elle ne le restera pas longtemps avec ces règles qui l’empêchent de se connecter aux miroirs Debian.

Cela n’est pas facile d’apprécier la qualité d’un tuto d’un site web si la compétence manque.

Aurais tu des ressources (livres ou sites web) de qualité où acquérir cette compétence?

Pour ma part, j’essaie de comprendre le contenu des “MISC”

Pour iptables, je conseille le très complet tutoriel d’Oskar Andreasson trouvable facilement, dont il existe une traduction en français. Une fois les bases acquises, c’est beaucoup plus facile de comprendre un jeu de règles existant et de l’adapter à ses besoins.

Et en préalable nécessaire, il faut connaitre les protocoles réseau qu’on veut filtrer (IP, TCP, UDP, ICMP…).

Merci