[vpn] & tor

[Tebo]

Bonjour,

Je suis à la recherche d'une règle iptable (je m'intéresse à la bonne chose?) pour envoyer le traffic réseaux tor (port 9001 et 9030) sans passer par le vpn.
Par défaut tout passe par le vpn. j'ai des règles dans mon rc.local qui me permet d'accéder à mon serveur web depuis l’extérieur sans que l'adresse pointe vers le vpn.

Les règles iptables concerne le partage de connexion entre mes différent interfaces donc rien d'intéressant.
- wlp12s0 interface qui reçoit le net
- wlp0s29f7u2 qui fait office de routeur wifi (172.16.1.0/24)
- enp0s25 de l'ethernet quand j'ai besoin (172.24.1.0/24)
- tun0 le vpn

Code : Tout sélectionner

[lolop@lupus ~]$ cat /etc/iptables/iptables.rules 
# Generated by iptables-save v1.4.21 on Sun Feb 28 22:39:42 2016
*filter
:INPUT ACCEPT [35541121:51709468874]
:FORWARD DROP [751:94359]
:OUTPUT ACCEPT [19578045:2133697984]
-A FORWARD -s 172.16.1.0/24 -o wlp12s0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.1.0/24 -i wlp12s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 172.24.1.0/24 -o wlp12s0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.24.1.0/24 -i wlp12s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


-A FORWARD -s 172.16.1.0/24 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.1.0/24 -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 172.24.1.0/24 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.24.1.0/24 -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


COMMIT
# Completed on Sun Feb 28 22:39:42 2016
# Generated by iptables-save v1.4.21 on Sun Feb 28 22:39:42 2016
*nat
:PREROUTING ACCEPT [587:47329]
:INPUT ACCEPT [525:44072]
:OUTPUT ACCEPT [429:51925]
:POSTROUTING ACCEPT [429:51925]

-A POSTROUTING -s 172.16.1.0/24 -o wlp12s0 -j MASQUERADE
-A POSTROUTING -s 172.24.1.0/24 -o wlp12s0 -j MASQUERADE

-A POSTROUTING -s 172.16.1.0/24 -o tun0 -j MASQUERADE
-A POSTROUTING -s 172.24.1.0/24 -o tun0 -j MASQUERADE

Les règles pour atteindre le serveur web.

Code : Tout sélectionner

[lolop@lupus ~]$ cat /etc/rc.local
/usr/bin/ip rule add from 192.168.1.7 table 128 ;
/usr/bin/ip route add table 128 to 192.168.1.0/24 dev wlp12s0;
/usr/bin/ip route add table 128 default via 192.168.1.254;

Bon je sais pas si c'est très propre tout ça, mais ça marche.
Je sais pas si j'ai était clair, j'ai essayé de faire au mieux.

Bizouille

[Fanch]

Salut,

INPUT ACCEPT est pas trés prudent (enfin ca dépend...)
Si tu veux vraiment faire propre il faut tout DROP sauf ce que tu utilise vraiment

[Tebo]

Sinon la variable OutboundBindAddress du fichier de configuration tor, positionné à la bonne adresse permet de ne pas passer par le vpn..