Je suis à la recherche d'une règle iptable (je m'intéresse à la bonne chose?) pour envoyer le traffic réseaux tor (port 9001 et 9030) sans passer par le vpn.
Par défaut tout passe par le vpn. j'ai des règles dans mon rc.local qui me permet d'accéder à mon serveur web depuis l’extérieur sans que l'adresse pointe vers le vpn.
Les règles iptables concerne le partage de connexion entre mes différent interfaces donc rien d'intéressant.
- wlp12s0 interface qui reçoit le net
- wlp0s29f7u2 qui fait office de routeur wifi (172.16.1.0/24)
- enp0s25 de l'ethernet quand j'ai besoin (172.24.1.0/24)
- tun0 le vpn
Code : Tout sélectionner
[lolop@lupus ~]$ cat /etc/iptables/iptables.rules
# Generated by iptables-save v1.4.21 on Sun Feb 28 22:39:42 2016
*filter
:INPUT ACCEPT [35541121:51709468874]
:FORWARD DROP [751:94359]
:OUTPUT ACCEPT [19578045:2133697984]
-A FORWARD -s 172.16.1.0/24 -o wlp12s0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.1.0/24 -i wlp12s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.24.1.0/24 -o wlp12s0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.24.1.0/24 -i wlp12s0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.16.1.0/24 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.1.0/24 -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.24.1.0/24 -o tun0 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.24.1.0/24 -i tun0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sun Feb 28 22:39:42 2016
# Generated by iptables-save v1.4.21 on Sun Feb 28 22:39:42 2016
*nat
:PREROUTING ACCEPT [587:47329]
:INPUT ACCEPT [525:44072]
:OUTPUT ACCEPT [429:51925]
:POSTROUTING ACCEPT [429:51925]
-A POSTROUTING -s 172.16.1.0/24 -o wlp12s0 -j MASQUERADE
-A POSTROUTING -s 172.24.1.0/24 -o wlp12s0 -j MASQUERADE
-A POSTROUTING -s 172.16.1.0/24 -o tun0 -j MASQUERADE
-A POSTROUTING -s 172.24.1.0/24 -o tun0 -j MASQUERADE
Code : Tout sélectionner
[lolop@lupus ~]$ cat /etc/rc.local
/usr/bin/ip rule add from 192.168.1.7 table 128 ;
/usr/bin/ip route add table 128 to 192.168.1.0/24 dev wlp12s0;
/usr/bin/ip route add table 128 default via 192.168.1.254;
Je sais pas si j'ai était clair, j'ai essayé de faire au mieux.
Bizouille