Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

--047d7b6704c3beeb1a04f3db4ce7
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 5 mars 2014 10:14, Olivier <oza.4h07@gmail.com> a écrit :

> Bonjour,
>
> Je prépare un conteneur LXC dédié à OpenVPN.
> Par défaut, iptables n'est pas installé dans le conteneur.
>
> Ce conteneur recevra du trafic en provenance du WAN via une box de type
> Freebox sur laquelle une re-direction idoine (UDP/1194) aura préalablem=
ent
> été mise en place.
>
> Les exemples de configuration d'OpenVPN sur le web mentionnent souvent de=
s
> règles iptables (exemple: [1]).
>
> Dans mon cas de figure (machine dédiée OpenVPN), avant de basculer en
> production, j'aimerai savoir quel serait l'intérêt d'installer iptabl=
es et
> d'y configurer des règles spécifiques ?
>
> Je pense que ça na pas d'intérêt en terme de sécurité mais sera=
is ravi
> d'entendre vos avis sur la question.
>
> Slts
>
>
> [1] http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linu=
x
>

Je viens de faire un essai : je suis surpris de noter un nombre important
de tentatives de connexion sur le port 1194/UDP.

J'imaginais naïvement, qu'étant donné sa destination (VPN), personne =
n'y
tenterai de connexion.
À l'évidence, ce n'est pas le cas et iptables m'a permis d'interdire
immédiatement une IP source suspecte.

Slts

--047d7b6704c3beeb1a04f3db4ce7
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div class="gmail_extra"><br><br><div class="gmail_quo=
te">Le 5 mars 2014 10:14, Olivier <span dir="ltr">&lt;<a href="mailto:o=
za.4h07@gmail.com" target="_blank">oza.4h07@gmail.com</a>&gt;</span> a =
écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p=
x #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><d=
iv>Bonjour,<br><br></div>Je prépare un conteneur LXC dédié à OpenVP=
N.<br></div>
Par défaut, iptables n&#39;est pas installé dans le conteneur.<br><br><=
/div><div>Ce conteneur recevra du trafic en provenance du WAN via une box d=
e type Freebox sur laquelle une re-direction idoine (UDP/1194) aura préal=
ablement été mise en place.<br>

</div><div><br></div>Les exemples de configuration d&#39;OpenVPN sur le web=
mentionnent souvent des règles iptables (exemple: [1]).<br><br></div>Dan=
s mon cas de figure (machine dédiée OpenVPN), avant de basculer en prod=
uction, j&#39;aimerai savoir quel serait l&#39;intérêt d&#39;installer =
iptables et d&#39;y configurer des règles spécifiques ?<br>

</div><br>Je pense que ça na pas d&#39;intérêt en terme de sécurit=
é mais serais ravi d&#39;entendre vos avis sur la question.<br><br></div>=
Slts<br><br><br><div><div><div>[1]





<a href="http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gn=
u-linux" target="_blank">http://www.hermann-uwe.de/blog/howto-using-openv=
pn-on-debian-gnu-linux</a>

</div></div></div></div>
</blockquote></div><br></div><div class="gmail_extra">Je viens de faire u=
n essai : je suis surpris de noter un nombre important de tentatives de con=
nexion sur le port 1194/UDP.<br><br></div><div class="gmail_extra">J&#39;=
imaginais naïvement, qu&#39;étant donné sa destination (VPN), personn=
e n&#39;y tenterai de connexion.<br>
</div><div class="gmail_extra">À l&#39;évidence, ce n&#39;est pas le =
cas et iptables m&#39;a permis d&#39;interdire immédiatement une IP sourc=
e suspecte.<br><br></div><div class="gmail_extra">Slts<br></div></div>

--047d7b6704c3beeb1a04f3db4ce7--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAPeT9jiˆ-cQUmYZA68dNx-XCS1wJ6ggwLbPzU70v3=CraVFg@mail.gmail.com