Bonjour,
 
je teste un serveur openvpn sur centos.
jusque là, pas de problème : mes clients se connectent.
 
je dispose d'un réseau local sur lequel les clients ne doivent pas aller partout.
ca aussi, pas de problème : je peux autoriser un serveur ou 2 mais pas le reste du reseau.
 
par contre, j'ai un problème quand je veux donner accès à internet à mes clients.
actuellement, si je forward tout le trafic entre tun0 et eth0, cela marche
mais tout l'accès au lan est permis, comme si les regles étaient court-circuitées
 
est-ce que un as de iptables peut me conseiller ?
 
pour info, je n'ai pas de NAT car j'ai un firewall derriere qui doit garder les logs.
 
voilà mes regles iptables actuelles :
je precise que 10.9.0.0 est le réseau qu'utilise openvpn en mode tun et que 172.22.0.0/20 est le réseau local à protéger.
le serveur openvpn est en 172.22.1.21 (eth0) et 10.9.0.1 (tun0)
 

Bon il y a beaucoup de choses qui sont pas tres propres dans ton fichier, a mon avis le mieux a ce point c'est d'aller lire la doc de iptables directement et de revoir la base sur les reseaux.
(C'est pas un troll, perso je l'ai lu la doc iptables en anglais quand j'en ai eu assez de bricoler des regles a l'arrache)
 
Sinon cela devrait ressembler plus a un truc comme ca.
 

je comprends ce que tu dis mais la conf que j'ai posté je ne l'ai pas sortie comme ca tu vois, j'ai lu beaucoup de truc sur iptables et j'ai repris des exemples existants.
je l'ai testé cette conf : les restrictions sur 172.22.0.0/20 fonctionnent.

par contre, ta conf, elle, elle ne fonctionne pas : plus rien ne passe.
j'ai mis en ACCEPT INPUT et OUTPUT en virant toutes les regles pour pas que tu dises que c'est elles aussi qui sont mal faites.
mais c'est pareil : ta conf marche pas

en plus tu n'as pas répondu pas à la question
essaye encore, stp

 
Ca fonctionne mais ca fonctionne pas?    
 
J'ai pas trouve de question alors j'ai pas repondu effectivement.
 

 
Le module state ne s'applique pour les connections TCP et de plus il est obsolete il faut utiliser conntrack.
 

 
Module state avec udp  
 

 
Comment les clients du VPN qui sont derrieres tun0 arrivent a rentrer par eth0?    
 

 
Le serveur peut donc envoyer des requetes ICMP mais ne pourra jamais recevoir les reponses, j'aime le concept.
 
Et le meilleur pour la fin
 

La, tu acceptes tout ce qui rentre par tun0 ok pourquoi pas.
 

 
Mais alors pourquoi tu mets ca juste apres si tu viens deja de tout accepter?!  
 
 

 
du coup idem hein, celle ci sert a rien.
 

 
Et la pour le port 3389 tu acceptes les states RELATED,ESTABLISHED mais jamais NEW ? La faudra m'expliquer a quoi ca sert. En plus ESTABLISHED ne sert que dans des cas tres precis genre FTP. Et d'apres wikipedia le RDP utilise TCP et UDP.
 
 

 
UDP 443  
 
J'arrete la mais il en reste hein. On est tres loin d'un truc qui fonctionne.
 
Je t'ai donne 50% de la reponse mais t'as pas su quoi en faire, t'as prefere etre agressif. Du coup moi aussi  

non, ce dont tu parles c'est RELATED.
Grossièrement, lorsque qu'une "flux" dérive d'un autre, le premier paquet de ce nouveau flux vu est mis en état RELATED. C'est effectivement valable pour FTP (session de donnée lié à la session de controle où on négocie les ports) mais pour d'autre protocole qui négocie des ports pour des flux parallèles y compris de l'udp. Cela peut être des flux tcp, icmp, udp

Ce n'est pas parce qu'il n'y a pas de connections dans la définition du protocole UDP que l'on ne pas suivre UDP via le module state
http://www.iptables.info/en/connec [...] ONNECTIONS
Grossierement, le stateful apporté par les modules states et conntrack crée des états pour UDP afin de savoir si on peut autoriser un paquet dans un sens alors qu'il a été vu dans l'autre. Typiquement ça sert dans le cas suivant:
- De base tu interdis tout paquet entrant
- tu autorises les paquets sortant vers le port UDP/53
- tu autorises les paquets en ESTABLISHED à rentrer
=> tes résolutions DNS fonctionneront, ce n'est pas parce que UDP est un protocole stateless qu'on ne peut pas mettre des artifices dans les équipements de sécurité et rester avec de vieilles ACL sans état

Euh non
https://www.netfilter.org/documenta [...] WTO-7.html
RELATED

   Le paquet est associé à une connexion existante sans faire partie de cette connexion, comme une erreur ICMP ou (avec le module FTP chargé) un paquet établissant une connexion de données FTP.

From the iptables manpage:

state
       This module, when combined with connection tracking, allows access to  the
       connection tracking state for this packet.

      --state state
              Where  state  is a comma separated list of the connection states to
              match.  Possible states are INVALID  meaning  that  the  packet  is
              associated  with  no known connection, ESTABLISHED meaning that the
              packet is associated with a connection which has  seen  packets  in
              both directions, NEW meaning that the packet has started a new con­
              nection, or otherwise associated with a connection  which  has  not
              seen  packets  in  both  directions,  and RELATED meaning that the
              packet is starting a new connection,  but  is  associated  with  an
              existing  connection,  such  as  an  FTP  data transfer, or an ICMP
              error.

Tu ne comprends rien ou tu fais expres : quand j'écris que cette conf fonctionne, je parle de ma conf, celle du 1er post
celle que tu as posté (dans le 2eme post, après avoir dis que tu ne trolles pas), ne marche pas.
 
ma conf marche, la tienne non, c'est clair maintenant ?
 
Le reste de ton pavé, oh mon dieu, je vais prendre le temps de le lire mais je crois que tu n'as rien compris.
c'est normal puisque tu dis toi-meme n'avoir pas vu la question.
 

j'ai mis la question en gras dans le 1er post, c'est clair maintenant ?
 
et tu critiques, tu critiques... des truc qui fonctionnent, bravo (quelle perte de temps mais c'est le tien)
tu preferes t'acharner (troller ???)
tu dis que rien ne fonctionne, que le serveur ne recevra pas les réponses icmp, que le rdp ne fonctionne pas non plus, que les clients VPN ne se connectent pas.
sans jamais proposer comment toi tu ferais...
je te dis que cette conf fonctionne (la conf que j'ai posté, hein, tu comprends ? cf celle du 1er post) : ping, clients VPN et rdp.
accepte le, ma conf fonctionne, elle avait juste besoin d'un petit coup de pouce.
 

et oui, udp 443, va lire le 1er post au lieu de t'etonner et de troller
 
heureusement que j'ai trouvé une solution sans toi

ça donne quoi au final ?