Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Bzzz
On Wed, 5 Mar 2014 16:38:39 +0100
Sébastien NOBILI  wrote:

> Je suis fortement intéressé par la guérison de ton amnésie !

Meuhtel vient de donner la réponse.

-- 
[ ] Safeguard this message - it is an important historical document.
[ ] Delete after reading -- Subversive Literature.
[ ] Ignore and go back to what you were doing.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140305164658.02c830b6@anubis.defcon1



Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Bzzz
On Wed, 05 Mar 2014 16:26:25 +0100
Meutel  wrote:

> SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet
> d'utiliser le même port pour HTTPS, SSH et OpenVPN. Indispensable
> pour traverser des firewalls corpo. L'inconvenient étant que dans
> les logs des services on perd l'IP source.

Aaah, dans l'cochon, comme disent les allemands ;)

Et puis, perdre l'IP source ça n'a que peu d'importance
(à part quand il s'agit de script kiddies). 

-- 
C'est tout petit la Belgique : tu fais un excès de vitesse,
t'es déjà à l'extérieur... -- Coluche

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140305163909.5670325f@anubis.defcon1



Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Sébastien NOBILI
Le mercredi 05 mars 2014 à 16:00, Bzzz a écrit :
> Je me rappelle d'avoir vu un pkg qui permet de faire des 
> redirections auto sur un seul port (c'est là que le bât
> blesse: me rappelle plus de son nom).

Je suis fortement intéressé par la guérison de ton amnésie !

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/20140305153839.gj13...@sebian.nob900.homeip.net



Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Meutel

Le 2014-03-05 16:00, Bzzz a écrit :

On Wed, 05 Mar 2014 15:52:56 +0100
"Sylvain L. Sauvage"  wrote:


  Parfois, c’est aussi la seule solution. P.ex. quand on veut se
connecter depuis un réseau de paranoïaques¹ qui filtrent les
ports en sortie autres que les ports connus (53, 80…).


Je me rappelle d'avoir vu un pkg qui permet de faire des
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).

Genre, sur le 80 tu peux avoir ton svr http, ton ssh et
autre chose encore.

SI c'est le cas, ça vaut le coup de le chercher (synaptic
ou grep direct dans le listing des pkg).

--
L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche


SSLH (http://www.rutschle.net/tech/sslh.shtml), ça permet d'utiliser le 
même port pour HTTPS, SSH et OpenVPN. Indispensable pour traverser des 
firewalls corpo. L'inconvenient étant que dans les logs des services on 
perd l'IP source.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/95e57b7ba05b5b486b8df07c1017d...@meutel.net



Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Bzzz
On Wed, 05 Mar 2014 15:52:56 +0100
"Sylvain L. Sauvage"  wrote:

>   Parfois, c’est aussi la seule solution. P.ex. quand on veut se 
> connecter depuis un réseau de paranoïaques¹ qui filtrent les 
> ports en sortie autres que les ports connus (53, 80…).

Je me rappelle d'avoir vu un pkg qui permet de faire des 
redirections auto sur un seul port (c'est là que le bât
blesse: me rappelle plus de son nom).

Genre, sur le 80 tu peux avoir ton svr http, ton ssh et
autre chose encore.

SI c'est le cas, ça vaut le coup de le chercher (synaptic
ou grep direct dans le listing des pkg).

-- 
L'amour rend fou. Il n'y a que la guerre qui Rambo. -- Coluche

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140305160032.3df44106@anubis.defcon1



Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Sylvain L. Sauvage
Le mercredi 5 mars 2014 13:55:15 Bzzz a écrit :
>[…]
> Comme tu viens de le constater, mauvaise idée que d'utiliser
> le port par défaut.

  Parfois, c’est aussi la seule solution. P.ex. quand on veut se 
connecter depuis un réseau de paranoïaques¹ qui filtrent les 
ports en sortie autres que les ports connus (53, 80…).

——
1. ce qui n’est pas un terme forcément péjoratif.

>[…] 64k ports).

  64 _ki_ ;o)

>[…]
> > J'imaginais naïvement, qu'étant donné sa destination (VPN),
> > personne n'y tenterai de connexion.
> 
> Personne n'a sous-entendu que _tous_ les crackers étaient
> intelligents (sans compter les sondes automatiques, et…
> ton propre gouvernement) […]

  Ce n’est pas parce que le port X est réservé / préféré / le 
port par défaut pour le service Y qu’on n’a pas le droit d’y 
mettre le service Z.
  Parfois (voir cas au-dessus), c’est une façon de contourner 
les pare-feu très stricts.

  443 sert aussi dans ces cas. (Rarement le 80 parce qu’il passe 
plus souvent par un proxy, lequel jette les autres protocoles 
que HTTP…)

-- 
 Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/8717027.ti7m1BYL5e@earendil



Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Bzzz
On Wed, 5 Mar 2014 13:38:37 +0100
Olivier  wrote:

> > de type Freebox sur laquelle une re-direction idoine (UDP/1194)
> > aura préalablement été mise en place.

Comme tu viens de le constater, mauvaise idée que d'utiliser
le port par défaut.
Tires-en un au sort et branches-toi dessus, ça élimine déjà
les scripts kiddies (pck ça prend un certain temps de scanner
64k ports).

> > basculer en production, j'aimerai savoir quel serait l'intérêt
> > d'installer iptables et d'y configurer des règles spécifiques ?

Ben il faut quand même que les packets puissent passer.

> > Je pense que ça na pas d'intérêt en terme de sécurité mais

Pas vraiment à partir du moment où ta conf est correctement
faite; DH2048, 1 certif par client, TLS, etc:
https://openvpn.net/index.php/open-source/documentation/howto.html#security

> J'imaginais naïvement, qu'étant donné sa destination (VPN),
> personne n'y tenterai de connexion.

Personne n'a sous-entendu que _tous_ les crackers étaient
intelligents (sans compter les sondes automatiques, et…
ton propre gouvernement)

> À l'évidence, ce n'est pas le cas et iptables m'a permis
> d'interdire immédiatement une IP source suspecte.

Tout dépend de l'interdiction, si c'est drop ça va, si c'est
reject, c'est relativement risqué parce qu'il y a des cons
très très cons (et qu'on est jamais à l'abri d'un 0-day ou
d'un DDOS).

-- 
Gynécologue, c'est un métier accessible aux sourds.
En effet il n'y a rien à entendre et on peut lire sur les lèvres.
-- Coluche

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140305135515.4acc52a2@anubis.defcon1



Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Bernardo
Fail2ban pourrait t'être utile dans ce cas...

Olivier a écrit :
> Le 5 mars 2014 10:14, Olivier  a écrit :
> 
>> Bonjour,
>> 
>> Je prépare un conteneur LXC dédié à OpenVPN. Par défaut, iptables n'est
>> pas installé dans le conteneur.
>> 
>> Ce conteneur recevra du trafic en provenance du WAN via une box de type 
>> Freebox sur laquelle une re-direction idoine (UDP/1194) aura
>> préalablement été mise en place.
>> 
>> Les exemples de configuration d'OpenVPN sur le web mentionnent souvent
>> des règles iptables (exemple: [1]).
>> 
>> Dans mon cas de figure (machine dédiée OpenVPN), avant de basculer en 
>> production, j'aimerai savoir quel serait l'intérêt d'installer iptables
>> et d'y configurer des règles spécifiques ?
>> 
>> Je pense que ça na pas d'intérêt en terme de sécurité mais serais ravi 
>> d'entendre vos avis sur la question.
>> 
>> Slts
>> 
>> 
>> [1]
>> http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linux
>> 
> 
> Je viens de faire un essai : je suis surpris de noter un nombre important 
> de tentatives de connexion sur le port 1194/UDP.
> 
> J'imaginais naïvement, qu'étant donné sa destination (VPN), personne n'y 
> tenterai de connexion. À l'évidence, ce n'est pas le cas et iptables m'a
> permis d'interdire immédiatement une IP source suspecte.
> 
> Slts
> 
-- 
Cordialement,
Bernardo.

Le réel n'est jamais « ce qu'on pourrait croire » mais il est toujours
ce qu'on aurait dû penser...
-+- Gaston Bachelard ; La formation de l'esprit scientifique

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/53171e11.3040...@siorat.net



Re: Intérêt d'ajouter iptables à un conteneur LXC dédié à OpenVPN ? [RESOLU]

2014-03-05 Par sujet Olivier
Le 5 mars 2014 10:14, Olivier  a écrit :

> Bonjour,
>
> Je prépare un conteneur LXC dédié à OpenVPN.
> Par défaut, iptables n'est pas installé dans le conteneur.
>
> Ce conteneur recevra du trafic en provenance du WAN via une box de type
> Freebox sur laquelle une re-direction idoine (UDP/1194) aura préalablement
> été mise en place.
>
> Les exemples de configuration d'OpenVPN sur le web mentionnent souvent des
> règles iptables (exemple: [1]).
>
> Dans mon cas de figure (machine dédiée OpenVPN), avant de basculer en
> production, j'aimerai savoir quel serait l'intérêt d'installer iptables et
> d'y configurer des règles spécifiques ?
>
> Je pense que ça na pas d'intérêt en terme de sécurité mais serais ravi
> d'entendre vos avis sur la question.
>
> Slts
>
>
> [1] http://www.hermann-uwe.de/blog/howto-using-openvpn-on-debian-gnu-linux
>

Je viens de faire un essai : je suis surpris de noter un nombre important
de tentatives de connexion sur le port 1194/UDP.

J'imaginais naïvement, qu'étant donné sa destination (VPN), personne n'y
tenterai de connexion.
À l'évidence, ce n'est pas le cas et iptables m'a permis d'interdire
immédiatement une IP source suspecte.

Slts