Path: ...!weretis.net!feeder8.news.weretis.net!news.uzoreto.com!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.os.linux.configuration
Subject: Re: connexion vpn et iptables
Date: Sat, 26 Feb 2022 16:38:37 -0000 (UTC)
Organization: Posted through ALPHANET
Message-ID: <svdl2d$v24$1@shakotay.alphanet.ch>
References: <sv80e9$7i5$1@dont-email.me> <sva132$v5q$1@shakotay.alphanet.ch> <svdid4$472$1@dont-email.me>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 26 Feb 2022 16:38:37 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1";
	logging-data="31812"; mail-complaints-to="usenet@alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
Cancel-Lock: sha256:p36Mqrm+YI++cUF17dGYOFPp2Yt/ML3kURTBykXlwcI=
Bytes: 1887
Lines: 18

François Patte <francois.patte@mi.parisdescartes.fr> wrote:
> $IPTABLES -A INPUT -i tun0 -j LOG_ACCEPT
> $IPTABLES -A FORWARD -i tun0 -j LOG_ACCEPT
> $IPTABLES -A OUTPUT -o tun0 -j LOG_ACCEPT

Donc, il y a un saut à LOG_ACCEPT *au début* de votre table, ne
connaissant pas ce que fait LOG_ACCEPT, s'il accepte tout, le reste des
règles devraient alors être ajoutés en -I.

> $IPTABLES -A OUTPUT -m state --state NEW -o $IFACE_EXTERNE -j ACCEPT

Je dirais d'y ajouter ESTABLISHED,RELATED, car tout paquet n'est pas
un nouveau flux ni une nouvelle connexion, me semble-t-il.

> Je ne sais pas encore si ces règles sont "minimales"... à tester. Ni si 
> ça fonctionne avec un autre vpn que j'utilise pour le test.

Vérifier ensuite avec les compteurs (-L) que ces règles sont
effectivement utilisées. Et tester des abus.