Pages : 1
#1 Le 04/06/2018, à 17:06
- Lifesaver
Configuration Iptables
Salut à tous,
Je viens de changer de PC, et je voudrais faire comme sur l'ancien : couper tout flux internet si le serveur VPN tombe.
Sur mes autres machines, je n'ai eu aucun soucis. Mais sur la nouvelle, j'ai voulu faire le cacou, j'ai bidouillé et désormais je ne peux plus changer correctement mes règles dans Iptables... 
Pour commencer, Iptables-persistent n'est pas installé, /etc/iptables/ est vide, et ufw est inactif (vérifié dans son fichier conf)
Au démarrage, tout est OK, internet fonctionne à merveille, VPN en fonction ou non.
iptables -P OUTPUT DROP me coupe toute connexion sortante comme prévu
iptables -A OUTPUT -p udp -m multiport --dport 53,1194 -j ACCEPT pour autoriser le trafic sortant vers les serveurs openvpn et dns en protocole udp
iptables -A OUTPUT -o tun+ -j ACCEPT pour autoriser le trafic sortant via la connexion VPN
iptables -A OUTPUT -d 192.168.1.1/24 -j ACCEPT et iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT pour autoriser le trafic sur le réseau local (minidlna, imprimante wifi...)
service network-manager restart pour relancer la connexion
Rien ne fonctionne après cela, même pas moyen de revenir en arrière après un iptables -F puis iptables -X, obligé de rebouter.
Sur mes autres machines, les commandes fonctionnent nickel chrome, et avec iptables-persistent j'ai même sauvegardé ma configuration d'iptables, je ne pige pas ce que j'ai bien pu casser sur ma machine pour que ça ne fonctionne pas. Une idée ?
Debian Stable
Hors ligne
#2 Le 04/06/2018, à 17:17
- Lifesaver
Re : Configuration Iptables
Au redémarrage de la machine (tout fonctionne avec ou sans VPN) :
$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination Avec les règles citées plus haut (rien ne fonctionne, avec ou sans VPN) :
$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 192.168.1.0/24 anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- anywhere anywhere multiport dports domain,openvpn
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere 192.168.1.0/24 Après un iptables -F et iptables -X (rien ne fonctionne plus, avec ou sans VPN) :
$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destinationDebian Stable
Hors ligne
#3 Le 04/06/2018, à 20:30
- Lifesaver
Re : Configuration Iptables
Pour vous donner plus d'indices sur l'origine de mon problème, sachez que lorsque j'ai installé Kubuntu Bionic, j'ai configuré iptables et sauvegardé la config avec iptables-persistent sans aucun soucis sur ce même PC.
Cependant hier je me suis aperçu que iptables était complètement réinitialisé pour une raison inconnue, et que le killswitch n'était plus en fonction, autrement dit même si le serveur VPN tombait, je conservais internet contrairement à ce que je voulais.
Et donc depuis j'ai bidouillé sans succès, désinstallations-réinstallations, dpkg --configure de iptables, ufw, ainsi que iptables-persistent et netfilter-persistent (tout en sachant bien que l'origine du problème ne venait pas de là)
Debian Stable
Hors ligne
#4 Le 06/06/2018, à 08:23
- Lifesaver
Re : Configuration Iptables
Bon, j'en suis sur c'est la commande iptables -A OUTPUT -o tun+ -j ACCEPT qui merde...
Mais pourquoi ?
Debian Stable
Hors ligne
#5 Le 12/06/2018, à 16:06
- jlmas
Re : Configuration Iptables
Chain OUTPUT (policy DROP)Des que tu tombes sur la politique de base, plus aucun paquet ne sort, C'est effectivement très très sécurisé 
, mais ça ne risque pas de fonctionner.
Je te conseille de mettre toutes tes policy iptables à ACCEPT et d'ajouter une ligne à la fin qui DROP tout ce qui n'est pas explicitement autorisé. Ce qui évite, quand tu fais un flush de tes iptables ( iptables -F ) de te retrouver coincé dehors, situation très amusante surtout sur un serveur distant.
exemple
-A INPUT -p icmp -m comment --comment "000 accept all icmp" -j ACCEPT
-A INPUT -i lo -m comment --comment "005 accept all to lo interface" -j ACCEPT
-A INPUT -m comment --comment "010 accept related established rules" -m state --state RELATED,ESTABLISHED -j ACCEPT
bla bla bla bla
-A INPUT -m comment --comment "998 drop all" -j DROPDe même pour les règles d'OUTPUT.
Note importante, n'oublie pas la ligne suivante, elle est fondamentale
-A INPUT -m comment --comment "010 accept related established rules" -m state --state RELATED,ESTABLISHED -j ACCEPTAutoriser le loopback est aussi une bonne idée
NB : les commentaires ne sont pas indispensables, je trouve ça juste plus clair, mais c'est très optionnel.
Hors ligne
#6 Le 12/06/2018, à 16:42
- Lifesaver
Re : Configuration Iptables
Je n'ai pas réussi à utiliser iptables sur 1 de mes 3 pc... C'est couillon, mais du coup j'ai configuré ufw et ça fonctionne 
Merci !
Debian Stable
Hors ligne
#7 Le 25/06/2018, à 10:13
- Lifesaver
Re : Configuration Iptables
Bon, j'ai du nouveau et c'est encore plus bizarre qu'avant... J'ai lancé une réinstall complète de Kubuntu et j'ai les mêmes problèmes avec Iptables, sur un seul de mes 3 PC... Donc exit les problèmes de bidouillage.
J'ai posté sur la partie Réseau du fofo pour tenter d'avoir plus de réponses...
https://forum.ubuntu-fr.org/viewtopic.php?id=2027525
Debian Stable
Hors ligne
Pages : 1