Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail From: Marc SCHAEFER Newsgroups: fr.comp.os.linux.configuration Subject: Re: connexion vpn et iptables Date: Tue, 1 Mar 2022 10:57:55 -0000 (UTC) Organization: Posted through ALPHANET Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Injection-Date: Tue, 1 Mar 2022 10:57:55 -0000 (UTC) Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1"; logging-data="19673"; mail-complaints-to="usenet@alphanet.ch" User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64)) Cancel-Lock: sha256:13YP5mhqwHHGoonY08mmXqSO7Y3EkqugkOzVWE1Bs+E= Bytes: 3293 Lines: 55 François Patte wrote: >> iptables -L et avec -v on voit les compteurs, de mémoire, comme ça on peut voir si une règle sert. > Chain INPUT (policy DROP) INPUT, OUTPUT et FORWARD en DROP est effectivement une bonne chose. > LOG_ACCEPT all -- 10.0.0.0/24 anywhere curieux, c'est justifié? > LOG_DROP all -- anywhere anywhere Ca cela complémente, en bas de queue, la policy DROP en faisant en plus un LOG. > Chain LOG_ACCEPT (2 references) > target prot opt source destination > LOG all -- anywhere anywhere LOG level > warning prefix "[IPTABLES ACCEPT] : " > ACCEPT all -- anywhere anywhere > > Chain LOG_DROP (3 references) > target prot opt source destination > LOG all -- anywhere anywhere LOG level > warning prefix "[IPTABLES DROP] : " > DROP all -- anywhere anywhere Les deux chaînes spécifiques. > 1- Alors que la doc openvpn dit que les requètes ont lieu vers le port > 1194 (udp), quand on lance openvpn, il envoie des requètes vers le port > 80, puis 443, puis vers d'autres ports et finit par utiliser le port > 1194 et, donc,à établir la connexion. Curieux, ça ça ressemblerait au setup p.ex. d'un VPN Cisco (qui passe d'abord par le web puis fait du GRE, de mémoire). > 2- ipv6: quand on cherche à savoir (des tas de sites proposent ce > service) quel est le numéro ip attribué, on a 2 numéros, un ipv4 (qui > correspond à celui que le vpn octroit) et un ipv6 qui est celui attribué > par le fai... ce qui rend suspectes les affirmations de "cacher le > numéro ip" des fournisseurs de vpn, Parler d'adresse plutôt que de numéro est plus clair. Il se peut que votre fournisseur de VPN ne supporte pas l'IPv6 ou qu'il faille l'activer. Effectivement, dans ce cas, le trafic v6 ne sera pas via le VPN. Sans support v6 chez le fournisseur VPN, alors désactiver le v6 semble utile, si le VPN est utilisé pour l'anonymisation.