Article <svku7j$j6p$1@shakotay.alphanet.ch>

Deutsch English FranÃ§ais Italiano
<svku7j$j6p$1@shakotay.alphanet.ch>

View for Bookmarking (what is this?)
Look up another Usenet article
Path: ...!weretis.net!feeder8.news.weretis.net!news.imp.ch!news.alphanet.ch!alphanet.ch!.POSTED.localhost!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.os.linux.configuration
Subject: Re: connexion vpn et iptables
Date: Tue, 1 Mar 2022 10:57:55 -0000 (UTC)
Organization: Posted through ALPHANET
Message-ID: <svku7j$j6p$1@shakotay.alphanet.ch>
References: <sv80e9$7i5$1@dont-email.me> <sva132$v5q$1@shakotay.alphanet.ch> <svdid4$472$1@dont-email.me> <svdqik$k2p$1@ns507557.dodin.fr.nf> <svfmhj$p09$1@dont-email.me> <svfmm1$1jh$1@shakotay.alphanet.ch> <svks03$e6m$1@dont-email.me>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Tue, 1 Mar 2022 10:57:55 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-host="localhost:127.0.0.1";
	logging-data="19673"; mail-complaints-to="usenet@alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-18-amd64 (x86_64))
Cancel-Lock: sha256:13YP5mhqwHHGoonY08mmXqSO7Y3EkqugkOzVWE1Bs+E=
Bytes: 3293
Lines: 55

François Patte <francois.patte@mi.parisdescartes.fr> wrote:
>> iptables -L

et avec -v on voit les compteurs, de mémoire, comme ça on peut voir si
une règle sert.

> Chain INPUT (policy DROP)

INPUT, OUTPUT et FORWARD en DROP est effectivement une bonne chose.


> LOG_ACCEPT  all  --  10.0.0.0/24          anywhere

curieux, c'est justifié?

> LOG_DROP   all  --  anywhere             anywhere

Ca cela complémente, en bas de queue, la policy DROP en faisant en plus
un LOG.

> Chain LOG_ACCEPT (2 references)
> target     prot opt source               destination
> LOG        all  --  anywhere             anywhere             LOG level 
> warning prefix "[IPTABLES ACCEPT] : "
> ACCEPT     all  --  anywhere             anywhere
> 
> Chain LOG_DROP (3 references)
> target     prot opt source               destination
> LOG        all  --  anywhere             anywhere             LOG level 
> warning prefix "[IPTABLES DROP] : "
> DROP       all  --  anywhere             anywhere

Les deux chaînes spécifiques.

> 1- Alors que la doc openvpn dit que les requètes ont lieu vers le port 
> 1194 (udp), quand on lance openvpn, il envoie des requètes vers le port 
> 80, puis 443, puis vers d'autres ports et finit par utiliser le port 
> 1194 et, donc,à établir la connexion.

Curieux, ça ça ressemblerait au setup p.ex. d'un VPN Cisco (qui passe
d'abord par le web puis fait du GRE, de mémoire).

> 2- ipv6: quand on cherche à savoir (des tas de sites proposent ce 
> service) quel est le numéro ip attribué, on  a 2 numéros, un ipv4 (qui 
> correspond à celui que le vpn octroit) et un ipv6 qui est celui attribué 
> par le fai... ce qui rend suspectes les affirmations de "cacher le 
> numéro ip" des fournisseurs de vpn,

Parler d'adresse plutôt que de numéro est plus clair.

Il se peut que votre fournisseur de VPN ne supporte pas l'IPv6 ou qu'il
faille l'activer. Effectivement, dans ce cas, le trafic v6 ne sera pas
via le VPN.

Sans support v6 chez le fournisseur VPN, alors désactiver le v6 semble
utile, si le VPN est utilisé pour l'anonymisation.