Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
Le
Olivier

--047d7b6704c3beeb1a04f3db4ce7
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Le 5 mars 2014 10:14, Olivier <oza.4h07@gmail.com> a écrit :
> Bonjour,
>
> Je prépare un conteneur LXC dédié à OpenVPN.
> Par défaut, iptables n'est pas installé dans le conteneur.
>
> Ce conteneur recevra du trafic en provenance du WAN via une box de type
> Freebox sur laquelle une re-direction idoine (UDP/1194) aura préalablem=
ent
> été mise en place.
>
> Les exemples de configuration d'OpenVPN sur le web mentionnent souvent de=
s
> règles iptables (exemple: [1]).
>
> Dans mon cas de figure (machine dédiée OpenVPN), avant de basculer en
> production, j'aimerai savoir quel serait l'intérêt d'installer iptabl=
es et
> d'y configurer des règles spécifiques ?
>
> Je pense que ça na pas d'intérêt en terme de sécurité mais sera=
is ravi
> d'entendre vos avis sur la question.
>
> Slts
>
>
> [1] http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linu=
x
>
Je viens de faire un essai : je suis surpris de noter un nombre important
de tentatives de connexion sur le port 1194/UDP.
J'imaginais naïvement, qu'étant donné sa destination (VPN), personne =
n'y
tenterai de connexion.
À l'évidence, ce n'est pas le cas et iptables m'a permis d'interdire
immédiatement une IP source suspecte.
Slts
--047d7b6704c3beeb1a04f3db4ce7
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
<div dir="ltr"><div class="gmail_extra"><br><br><div class="gmail_quo=
te">Le 5 mars 2014 10:14, Olivier <span dir="ltr"><<a href="mailto:o=
za.4h07@gmail.com" target="_blank">oza.4h07@gmail.com</a>></span> a =
écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p=
x #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><d=
iv>Bonjour,<br><br></div>Je prépare un conteneur LXC dédié à OpenVP=
N.<br></div>
Par défaut, iptables n'est pas installé dans le conteneur.<br><br><=
/div><div>Ce conteneur recevra du trafic en provenance du WAN via une box d=
e type Freebox sur laquelle une re-direction idoine (UDP/1194) aura préal=
ablement été mise en place.<br>
</div><div><br></div>Les exemples de configuration d'OpenVPN sur le web=
mentionnent souvent des règles iptables (exemple: [1]).<br><br></div>Dan=
s mon cas de figure (machine dédiée OpenVPN), avant de basculer en prod=
uction, j'aimerai savoir quel serait l'intérêt d'installer =
iptables et d'y configurer des règles spécifiques ?<br>
</div><br>Je pense que ça na pas d'intérêt en terme de sécurit=
é mais serais ravi d'entendre vos avis sur la question.<br><br></div>=
Slts<br><br><br><div><div><div>[1]
<a href="http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gn=
u-linux" target="_blank">http://www.hermann-uwe.de/blog/howto-using-openv=
pn-on-debian-gnu-linux</a>
</div></div></div></div>
</blockquote></div><br></div><div class="gmail_extra">Je viens de faire u=
n essai : je suis surpris de noter un nombre important de tentatives de con=
nexion sur le port 1194/UDP.<br><br></div><div class="gmail_extra">J'=
imaginais naïvement, qu'étant donné sa destination (VPN), personn=
e n'y tenterai de connexion.<br>
</div><div class="gmail_extra">À l'évidence, ce n'est pas le =
cas et iptables m'a permis d'interdire immédiatement une IP sourc=
e suspecte.<br><br></div><div class="gmail_extra">Slts<br></div></div>
--047d7b6704c3beeb1a04f3db4ce7--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAPeT9jiˆ-cQUmYZA68dNx-XCS1wJ6ggwLbPzU70v3=CraVFg@mail.gmail.com
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Le 5 mars 2014 10:14, Olivier <oza.4h07@gmail.com> a écrit :
> Bonjour,
>
> Je prépare un conteneur LXC dédié à OpenVPN.
> Par défaut, iptables n'est pas installé dans le conteneur.
>
> Ce conteneur recevra du trafic en provenance du WAN via une box de type
> Freebox sur laquelle une re-direction idoine (UDP/1194) aura préalablem=
ent
> été mise en place.
>
> Les exemples de configuration d'OpenVPN sur le web mentionnent souvent de=
s
> règles iptables (exemple: [1]).
>
> Dans mon cas de figure (machine dédiée OpenVPN), avant de basculer en
> production, j'aimerai savoir quel serait l'intérêt d'installer iptabl=
es et
> d'y configurer des règles spécifiques ?
>
> Je pense que ça na pas d'intérêt en terme de sécurité mais sera=
is ravi
> d'entendre vos avis sur la question.
>
> Slts
>
>
> [1] http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linu=
x
>
Je viens de faire un essai : je suis surpris de noter un nombre important
de tentatives de connexion sur le port 1194/UDP.
J'imaginais naïvement, qu'étant donné sa destination (VPN), personne =
n'y
tenterai de connexion.
À l'évidence, ce n'est pas le cas et iptables m'a permis d'interdire
immédiatement une IP source suspecte.
Slts
--047d7b6704c3beeb1a04f3db4ce7
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
<div dir="ltr"><div class="gmail_extra"><br><br><div class="gmail_quo=
te">Le 5 mars 2014 10:14, Olivier <span dir="ltr"><<a href="mailto:o=
za.4h07@gmail.com" target="_blank">oza.4h07@gmail.com</a>></span> a =
écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p=
x #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><d=
iv>Bonjour,<br><br></div>Je prépare un conteneur LXC dédié à OpenVP=
N.<br></div>
Par défaut, iptables n'est pas installé dans le conteneur.<br><br><=
/div><div>Ce conteneur recevra du trafic en provenance du WAN via une box d=
e type Freebox sur laquelle une re-direction idoine (UDP/1194) aura préal=
ablement été mise en place.<br>
</div><div><br></div>Les exemples de configuration d'OpenVPN sur le web=
mentionnent souvent des règles iptables (exemple: [1]).<br><br></div>Dan=
s mon cas de figure (machine dédiée OpenVPN), avant de basculer en prod=
uction, j'aimerai savoir quel serait l'intérêt d'installer =
iptables et d'y configurer des règles spécifiques ?<br>
</div><br>Je pense que ça na pas d'intérêt en terme de sécurit=
é mais serais ravi d'entendre vos avis sur la question.<br><br></div>=
Slts<br><br><br><div><div><div>[1]
<a href="http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gn=
u-linux" target="_blank">http://www.hermann-uwe.de/blog/howto-using-openv=
pn-on-debian-gnu-linux</a>
</div></div></div></div>
</blockquote></div><br></div><div class="gmail_extra">Je viens de faire u=
n essai : je suis surpris de noter un nombre important de tentatives de con=
nexion sur le port 1194/UDP.<br><br></div><div class="gmail_extra">J'=
imaginais naïvement, qu'étant donné sa destination (VPN), personn=
e n'y tenterai de connexion.<br>
</div><div class="gmail_extra">À l'évidence, ce n'est pas le =
cas et iptables m'a permis d'interdire immédiatement une IP sourc=
e suspecte.<br><br></div><div class="gmail_extra">Slts<br></div></div>
--047d7b6704c3beeb1a04f3db4ce7--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAPeT9jiˆ-cQUmYZA68dNx-XCS1wJ6ggwLbPzU70v3=CraVFg@mail.gmail.com
Olivier a écrit :
--
Cordialement,
Bernardo.
Le réel n'est jamais « ce qu'on pourrait croire » mais il est toujours
ce qu'on aurait dû penser...
-+- Gaston Bachelard ; La formation de l'esprit scientifique
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Olivier
Comme tu viens de le constater, mauvaise idée que d'utiliser
le port par défaut.
Tires-en un au sort et branches-toi dessus, ça élimine déj Ã
les scripts kiddies (pck ça prend un certain temps de scanner
64k ports).
Ben il faut quand même que les packets puissent passer.
Pas vraiment à partir du moment où ta conf est correctement
faite; DH2048, 1 certif par client, TLS, etc:
https://openvpn.net/index.php/open-source/documentation/howto.html#security
Personne n'a sous-entendu que _tous_ les crackers étaient
intelligents (sans compter les sondes automatiques, et…
ton propre gouvernement)
Tout dépend de l'interdiction, si c'est drop ça va, si c'est
reject, c'est relativement risqué parce qu'il y a des cons
très très cons (et qu'on est jamais à l'abri d'un 0-day ou
d'un DDOS).
--
Gynécologue, c'est un métier accessible aux sourds.
En effet il n'y a rien à entendre et on peut lire sur les lèvres.
-- Coluche
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Parfois, c’est aussi la seule solution. P.ex. quand on veut s e
connecter depuis un réseau de paranoïaques¹ qui filtrent les
ports en sortie autres que les ports connus (53, 80…).
——
1. ce qui n’est pas un terme forcément péjoratif.
64 _ki_ ;o)
Ce n’est pas parce que le port X est réservé / prà ©féré / le
port par défaut pour le service Y qu’on n’a pas le droit d’y
mettre le service Z.
Parfois (voir cas au-dessus), c’est une façon de contour ner
les pare-feu très stricts.
443 sert aussi dans ces cas. (Rarement le 80 parce qu’il pass e
plus souvent par un proxy, lequel jette les autres protocoles
que HTTP…)
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
"Sylvain L. Sauvage"
Je me rappelle d'avoir vu un pkg qui permet de faire des
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).
Genre, sur le 80 tu peux avoir ton svr http, ton ssh et
autre chose encore.
SI c'est le cas, ça vaut le coup de le chercher (synaptic
ou grep direct dans le listing des pkg).
--
L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Meutel
Aaah, dans l'cochon, comme disent les allemands ;)
Et puis, perdre l'IP source ça n'a que peu d'importance
(Ã part quand il s'agit de script kiddies).
--
C'est tout petit la Belgique : tu fais un excès de vitesse,
t'es déjà à l'extérieur... -- Coluche
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet d'utiliser le
même port pour HTTPS, SSH et OpenVPN. Indispensable pour traverser des
firewalls corpo. L'inconvenient étant que dans les logs des services on
perd l'IP source.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Je suis fortement intéressé par la guérison de ton amnésie !
Seb
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Sébastien NOBILI
Meuhtel vient de donner la réponse.
--
[ ] Safeguard this message - it is an important historical document.
[ ] Delete after reading -- Subversive Literature.
[ ] Ignore and go back to what you were doing.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/