Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
Le 5 mars 2014 10:14, Olivier oza.4...@gmail.com a écrit : Bonjour, Je prépare un conteneur LXC dédié à OpenVPN. Par défaut, iptables n'est pas installé dans le conteneur. Ce conteneur recevra du trafic en provenance du WAN via une box de type Freebox sur laquelle une re-direction idoine (UDP/1194) aura préalablement été mise en place. Les exemples de configuration d'OpenVPN sur le web mentionnent souvent des règles iptables (exemple: [1]). Dans mon cas de figure (machine dédiée OpenVPN), avant de basculer en production, j'aimerai savoir quel serait l'intérêt d'installer iptables et d'y configurer des règles spécifiques ? Je pense que ça na pas d'intérêt en terme de sécurité mais serais ravi d'entendre vos avis sur la question. Slts [1] http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linux Je viens de faire un essai : je suis surpris de noter un nombre important de tentatives de connexion sur le port 1194/UDP. J'imaginais naïvement, qu'étant donné sa destination (VPN), personne n'y tenterai de connexion. À l'évidence, ce n'est pas le cas et iptables m'a permis d'interdire immédiatement une IP source suspecte. Slts
Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
Fail2ban pourrait t'être utile dans ce cas... Olivier a écrit : Le 5 mars 2014 10:14, Olivier oza.4...@gmail.com a écrit : Bonjour, Je prépare un conteneur LXC dédié à OpenVPN. Par défaut, iptables n'est pas installé dans le conteneur. Ce conteneur recevra du trafic en provenance du WAN via une box de type Freebox sur laquelle une re-direction idoine (UDP/1194) aura préalablement été mise en place. Les exemples de configuration d'OpenVPN sur le web mentionnent souvent des règles iptables (exemple: [1]). Dans mon cas de figure (machine dédiée OpenVPN), avant de basculer en production, j'aimerai savoir quel serait l'intérêt d'installer iptables et d'y configurer des règles spécifiques ? Je pense que ça na pas d'intérêt en terme de sécurité mais serais ravi d'entendre vos avis sur la question. Slts [1] http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linux Je viens de faire un essai : je suis surpris de noter un nombre important de tentatives de connexion sur le port 1194/UDP. J'imaginais naïvement, qu'étant donné sa destination (VPN), personne n'y tenterai de connexion. À l'évidence, ce n'est pas le cas et iptables m'a permis d'interdire immédiatement une IP source suspecte. Slts -- Cordialement, Bernardo. Le réel n'est jamais « ce qu'on pourrait croire » mais il est toujours ce qu'on aurait dû penser... -+- Gaston Bachelard ; La formation de l'esprit scientifique -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53171e11.3040...@siorat.net
Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
On Wed, 5 Mar 2014 13:38:37 +0100 Olivier oza.4...@gmail.com wrote: de type Freebox sur laquelle une re-direction idoine (UDP/1194) aura préalablement été mise en place. Comme tu viens de le constater, mauvaise idée que d'utiliser le port par défaut. Tires-en un au sort et branches-toi dessus, ça élimine déjà les scripts kiddies (pck ça prend un certain temps de scanner 64k ports). basculer en production, j'aimerai savoir quel serait l'intérêt d'installer iptables et d'y configurer des règles spécifiques ? Ben il faut quand même que les packets puissent passer. Je pense que ça na pas d'intérêt en terme de sécurité mais Pas vraiment à partir du moment où ta conf est correctement faite; DH2048, 1 certif par client, TLS, etc: https://openvpn.net/index.php/open-source/documentation/howto.html#security J'imaginais naïvement, qu'étant donné sa destination (VPN), personne n'y tenterai de connexion. Personne n'a sous-entendu que _tous_ les crackers étaient intelligents (sans compter les sondes automatiques, et… ton propre gouvernement) À l'évidence, ce n'est pas le cas et iptables m'a permis d'interdire immédiatement une IP source suspecte. Tout dépend de l'interdiction, si c'est drop ça va, si c'est reject, c'est relativement risqué parce qu'il y a des cons très très cons (et qu'on est jamais à l'abri d'un 0-day ou d'un DDOS). -- Gynécologue, c'est un métier accessible aux sourds. En effet il n'y a rien à entendre et on peut lire sur les lèvres. -- Coluche -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140305135515.4acc52a2@anubis.defcon1
Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
Le mercredi 5 mars 2014 13:55:15 Bzzz a écrit : […] Comme tu viens de le constater, mauvaise idée que d'utiliser le port par défaut. Parfois, c’est aussi la seule solution. P.ex. quand on veut se connecter depuis un réseau de paranoïaques¹ qui filtrent les ports en sortie autres que les ports connus (53, 80…). —— 1. ce qui n’est pas un terme forcément péjoratif. […] 64k ports). 64 _ki_ ;o) […] J'imaginais naïvement, qu'étant donné sa destination (VPN), personne n'y tenterai de connexion. Personne n'a sous-entendu que _tous_ les crackers étaient intelligents (sans compter les sondes automatiques, et… ton propre gouvernement) […] Ce n’est pas parce que le port X est réservé / préféré / le port par défaut pour le service Y qu’on n’a pas le droit d’y mettre le service Z. Parfois (voir cas au-dessus), c’est une façon de contourner les pare-feu très stricts. 443 sert aussi dans ces cas. (Rarement le 80 parce qu’il passe plus souvent par un proxy, lequel jette les autres protocoles que HTTP…) -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/8717027.ti7m1BYL5e@earendil
Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
On Wed, 05 Mar 2014 15:52:56 +0100 Sylvain L. Sauvage sylvain.l.sauv...@free.fr wrote: Parfois, c’est aussi la seule solution. P.ex. quand on veut se connecter depuis un réseau de paranoïaques¹ qui filtrent les ports en sortie autres que les ports connus (53, 80…). Je me rappelle d'avoir vu un pkg qui permet de faire des redirections auto sur un seul port (c'est là que le bât blesse: me rappelle plus de son nom). Genre, sur le 80 tu peux avoir ton svr http, ton ssh et autre chose encore. SI c'est le cas, ça vaut le coup de le chercher (synaptic ou grep direct dans le listing des pkg). -- L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140305160032.3df44106@anubis.defcon1
Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
Le 2014-03-05 16:00, Bzzz a écrit : On Wed, 05 Mar 2014 15:52:56 +0100 Sylvain L. Sauvage sylvain.l.sauv...@free.fr wrote: Parfois, c’est aussi la seule solution. P.ex. quand on veut se connecter depuis un réseau de paranoïaques¹ qui filtrent les ports en sortie autres que les ports connus (53, 80…). Je me rappelle d'avoir vu un pkg qui permet de faire des redirections auto sur un seul port (c'est là que le bât blesse: me rappelle plus de son nom). Genre, sur le 80 tu peux avoir ton svr http, ton ssh et autre chose encore. SI c'est le cas, ça vaut le coup de le chercher (synaptic ou grep direct dans le listing des pkg). -- L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet d'utiliser le même port pour HTTPS, SSH et OpenVPN. Indispensable pour traverser des firewalls corpo. L'inconvenient étant que dans les logs des services on perd l'IP source. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/95e57b7ba05b5b486b8df07c1017d...@meutel.net
Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
Le mercredi 05 mars 2014 à 16:00, Bzzz a écrit : Je me rappelle d'avoir vu un pkg qui permet de faire des redirections auto sur un seul port (c'est là que le bât blesse: me rappelle plus de son nom). Je suis fortement intéressé par la guérison de ton amnésie ! Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140305153839.gj13...@sebian.nob900.homeip.net
Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
On Wed, 05 Mar 2014 16:26:25 +0100 Meutel meu...@meutel.net wrote: SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet d'utiliser le même port pour HTTPS, SSH et OpenVPN. Indispensable pour traverser des firewalls corpo. L'inconvenient étant que dans les logs des services on perd l'IP source. Aaah, dans l'cochon, comme disent les allemands ;) Et puis, perdre l'IP source ça n'a que peu d'importance (à part quand il s'agit de script kiddies). -- C'est tout petit la Belgique : tu fais un excès de vitesse, t'es déjà à l'extérieur... -- Coluche -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140305163909.5670325f@anubis.defcon1
Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]
On Wed, 5 Mar 2014 16:38:39 +0100 Sébastien NOBILI sebnewslet...@free.fr wrote: Je suis fortement intéressé par la guérison de ton amnésie ! Meuhtel vient de donner la réponse. -- [ ] Safeguard this message - it is an important historical document. [ ] Delete after reading -- Subversive Literature. [ ] Ignore and go back to what you were doing. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140305164658.02c830b6@anubis.defcon1
