Le 5 mars 2014 10:14, Olivier <oza.4h07@gmail.com> a =E9crit :
> Bonjour,
>
> Je pr=E9pare un conteneur LXC d=E9di=E9 =E0 OpenVPN.
> Par d=E9faut, iptables n'est pas install=E9 dans le conteneur.
>
> Ce conteneur recevra du trafic en provenance du WAN via une box de type
> Freebox sur laquelle une re-direction idoine (UDP/1194) aura pr=E9alablem=
ent
> =E9t=E9 mise en place.
>
> Les exemples de configuration d'OpenVPN sur le web mentionnent souvent de=
s
> r=E8gles iptables (exemple: [1]).
>
> Dans mon cas de figure (machine d=E9di=E9e OpenVPN), avant de basculer en
> production, j'aimerai savoir quel serait l'int=E9r=EAt d'installer iptabl=
es et
> d'y configurer des r=E8gles sp=E9cifiques ?
>
> Je pense que =E7a na pas d'int=E9r=EAt en terme de s=E9curit=E9 mais sera=
is ravi
> d'entendre vos avis sur la question.
>
> Slts
>
>
> [1] http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linu=
x
>
Je viens de faire un essai : je suis surpris de noter un nombre important
de tentatives de connexion sur le port 1194/UDP.
J'imaginais na=EFvement, qu'=E9tant donn=E9 sa destination (VPN), personne =
n'y
tenterai de connexion.
=C0 l'=E9vidence, ce n'est pas le cas et iptables m'a permis d'interdire
imm=E9diatement une IP source suspecte.
<div dir=3D"ltr"><div class=3D"gmail_extra"><br><br><div class=3D"gmail_quo=
te">Le 5 mars 2014 10:14, Olivier <span dir=3D"ltr"><<a href=3D"mailto:o=
za.4h07@gmail.com" target=3D"_blank">oza.4h07@gmail.com</a>></span> a =
=E9crit :<br>
<blockquote class=3D"gmail_quote" style=3D"margin:0 0 0 .8ex;border-left:1p=
x #ccc solid;padding-left:1ex"><div dir=3D"ltr"><div><div><div><div><div><d=
iv>Bonjour,<br><br></div>Je pr=E9pare un conteneur LXC d=E9di=E9 =E0 OpenVP=
N.<br></div>
Par d=E9faut, iptables n'est pas install=E9 dans le conteneur.<br><br><=
/div><div>Ce conteneur recevra du trafic en provenance du WAN via une box d=
e type Freebox sur laquelle une re-direction idoine (UDP/1194) aura pr=E9al=
ablement =E9t=E9 mise en place.<br>
</div><div><br></div>Les exemples de configuration d'OpenVPN sur le web=
mentionnent souvent des r=E8gles iptables (exemple: [1]).<br><br></div>Dan=
s mon cas de figure (machine d=E9di=E9e OpenVPN), avant de basculer en prod=
uction, j'aimerai savoir quel serait l'int=E9r=EAt d'installer =
iptables et d'y configurer des r=E8gles sp=E9cifiques ?<br>
</div><br>Je pense que =E7a na pas d'int=E9r=EAt en terme de s=E9curit=
=E9 mais serais ravi d'entendre vos avis sur la question.<br><br></div>=
Slts<br><br><br><div><div><div>[1]=20
</div></div></div></div>
</blockquote></div><br></div><div class=3D"gmail_extra">Je viens de faire u=
n essai : je suis surpris de noter un nombre important de tentatives de con=
nexion sur le port 1194/UDP.<br><br></div><div class=3D"gmail_extra">J'=
imaginais na=EFvement, qu'=E9tant donn=E9 sa destination (VPN), personn=
e n'y tenterai de connexion.<br>
</div><div class=3D"gmail_extra">=C0 l'=E9vidence, ce n'est pas le =
cas et iptables m'a permis d'interdire imm=E9diatement une IP sourc=
e suspecte.<br><br></div><div class=3D"gmail_extra">Slts<br></div></div>
--047d7b6704c3beeb1a04f3db4ce7--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAPeT9ji=88-cQUmYZA68dNx-XCS1wJ6ggwLbPzU70v3=CraVFg@mail.gmail.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53171E11.3040804@siorat.net
Pas vraiment à partir du moment où ta conf est correctement faite; DH2048, 1 certif par client, TLS, etc: https://openvpn.net/index.php/open-source/documentation/howto.html#security
Pas vraiment à partir du moment où ta conf est correctement
faite; DH2048, 1 certif par client, TLS, etc:
https://openvpn.net/index.php/open-source/documentation/howto.html#security
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140305135515.4acc52a2@anubis.defcon1
Pas vraiment à partir du moment où ta conf est correctement faite; DH2048, 1 certif par client, TLS, etc: https://openvpn.net/index.php/open-source/documentation/howto.html#security
443 sert aussi dans ces cas. (Rarement le 80 parce quâil pass e
plus souvent par un proxy, lequel jette les autres protocoles
que HTTPâ¦)
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/8717027.ti7m1BYL5e@earendil
Je me rappelle d'avoir vu un pkg qui permet de faire des redirections auto sur un seul port (c'est là que le bât blesse: me rappelle plus de son nom).
Genre, sur le 80 tu peux avoir ton svr http, ton ssh et autre chose encore.
SI c'est le cas, ça vaut le coup de le chercher (synaptic ou grep direct dans le listing des pkg).
-- L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On Wed, 05 Mar 2014 15:52:56 +0100
"Sylvain L. Sauvage" <Sylvain.L.Sauvage@free.fr> wrote:
Je me rappelle d'avoir vu un pkg qui permet de faire des
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).
Genre, sur le 80 tu peux avoir ton svr http, ton ssh et
autre chose encore.
SI c'est le cas, ça vaut le coup de le chercher (synaptic
ou grep direct dans le listing des pkg).
--
L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140305160032.3df44106@anubis.defcon1
Je me rappelle d'avoir vu un pkg qui permet de faire des redirections auto sur un seul port (c'est là que le bât blesse: me rappelle plus de son nom).
Genre, sur le 80 tu peux avoir ton svr http, ton ssh et autre chose encore.
SI c'est le cas, ça vaut le coup de le chercher (synaptic ou grep direct dans le listing des pkg).
-- L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140305163909.5670325f@anubis.defcon1
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Meutel
Le 2014-03-05 16:00, Bzzz a écrit :
On Wed, 05 Mar 2014 15:52:56 +0100 "Sylvain L. Sauvage" wrote:
Parfois, c’est aussi la seule solution. P.ex. quand on veut se connecter depuis un réseau de paranoïaques¹ qui filtrent les ports en sortie autres que les ports connus (53, 80…).
Je me rappelle d'avoir vu un pkg qui permet de faire des redirections auto sur un seul port (c'est là que le bât blesse: me rappelle plus de son nom).
Genre, sur le 80 tu peux avoir ton svr http, ton ssh et autre chose encore.
SI c'est le cas, ça vaut le coup de le chercher (synaptic ou grep direct dans le listing des pkg).
-- L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche
SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet d'utiliser le même port pour HTTPS, SSH et OpenVPN. Indispensable pour traverser des firewalls corpo. L'inconvenient étant que dans les logs des services on perd l'IP source.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 2014-03-05 16:00, Bzzz a écrit :
On Wed, 05 Mar 2014 15:52:56 +0100
"Sylvain L. Sauvage" <Sylvain.L.Sauvage@free.fr> wrote:
Parfois, c’est aussi la seule solution. P.ex. quand on veut se
connecter depuis un réseau de paranoïaques¹ qui filtrent les
ports en sortie autres que les ports connus (53, 80…).
Je me rappelle d'avoir vu un pkg qui permet de faire des
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).
Genre, sur le 80 tu peux avoir ton svr http, ton ssh et
autre chose encore.
SI c'est le cas, ça vaut le coup de le chercher (synaptic
ou grep direct dans le listing des pkg).
--
L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche
SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet d'utiliser le
même port pour HTTPS, SSH et OpenVPN. Indispensable pour traverser des
firewalls corpo. L'inconvenient étant que dans les logs des services on
perd l'IP source.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/95e57b7ba05b5b486b8df07c1017d323@meutel.net
On Wed, 05 Mar 2014 15:52:56 +0100 "Sylvain L. Sauvage" wrote:
Parfois, c’est aussi la seule solution. P.ex. quand on veut se connecter depuis un réseau de paranoïaques¹ qui filtrent les ports en sortie autres que les ports connus (53, 80…).
Je me rappelle d'avoir vu un pkg qui permet de faire des redirections auto sur un seul port (c'est là que le bât blesse: me rappelle plus de son nom).
Genre, sur le 80 tu peux avoir ton svr http, ton ssh et autre chose encore.
SI c'est le cas, ça vaut le coup de le chercher (synaptic ou grep direct dans le listing des pkg).
-- L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche
SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet d'utiliser le même port pour HTTPS, SSH et OpenVPN. Indispensable pour traverser des firewalls corpo. L'inconvenient étant que dans les logs des services on perd l'IP source.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Sébastien NOBILI
Le mercredi 05 mars 2014 à 16:00, Bzzz a écrit :
Je me rappelle d'avoir vu un pkg qui permet de faire des redirections auto sur un seul port (c'est là que le bât blesse: me rappelle plus de son nom).
Je suis fortement intéressé par la guérison de ton amnésie !
Seb
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le mercredi 05 mars 2014 à 16:00, Bzzz a écrit :
Je me rappelle d'avoir vu un pkg qui permet de faire des
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).
Je suis fortement intéressé par la guérison de ton amnésie !
Seb
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140305153839.GJ13705@sebian.nob900.homeip.net
-- [ ] Safeguard this message - it is an important historical document. [ ] Delete after reading -- Subversive Literature. [ ] Ignore and go back to what you were doing.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
--
[ ] Safeguard this message - it is an important historical document.
[ ] Delete after reading -- Subversive Literature.
[ ] Ignore and go back to what you were doing.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140305164658.02c830b6@anubis.defcon1
-- [ ] Safeguard this message - it is an important historical document. [ ] Delete after reading -- Subversive Literature. [ ] Ignore and go back to what you were doing.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/