Auteur Sujet: Quelle technologie VPN choisir afin de servir un service self hosted via un VPS  (Lu 1214 fois)

0 Membres et 1 Invité sur ce sujet

Douks

  • Client Orange Fibre
  • *
  • Messages: 160
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #12 le: 26 février 2021 à 15:47:43 »
De mon côté, je ne vous partage pas encore mon retour d’expérience car je galère avec le port forwarding via iptables pour Wireguard  ;D
( le but étant de n'avoir que quelques services de la machine via le tunnel Wireguard )
Tu galères sur quoi ?

Si jamais ça peut donner une piste je mets une copie de ce que j'utilises de mon côté pour SRCDS. Avant de me faire fouetter, je précise et j'insiste : c'est juste pour donner un exemple. Il manque potentiellement des trucs, ça pourrait être plus propre/plus sécurisé/plus faire le café/... Des commentaires ne veulent rien dire, des lignes sont fausses (probablement celles en commentaire)

#!/bin/bash
modprobe ip_conntrack
modprobe ip_conntrack_ftp

# Vider les tables actuelles
iptables -F

#Vider les regles
iptables -X

# Tout interdire
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT

# Sécurité
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -m state --state INVALID -j DROP

# NE pas casser les conn etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#  Wireguard
iptables -t filter -A INPUT -p tcp --dport 51820 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 51820 -j ACCEPT

#Ping
iptables -t filter -A INPUT -p icmp -j ACCEPT

#SSH
iptables -t filter -A INPUT -p tcp --dport 2244 -j ACCEPT

# PBS
iptables -t filter -A INPUT -p tcp --dport 8007 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 82 -j ACCEPT

# WEB
#iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

#WEBS
#iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1
iptables -t nat -D PREROUTING 1

#iptables -t nat -A PREROUTING -i eno1  -p tcp -m multiport ! --dports 53,22,8007,51820 -j DNAT --to-destination 192.168.2.2
#iptables -t nat -A PREROUTING -i eno1  -p udp -m multiport ! --dports 53,22,8007 -j DNAT --to-destination 192.168.2.2

############################################
#                   MAIL
############################################
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 53 -j DNAT --to-destination 192.168.2.3
iptables -t nat -A PREROUTING -i eno1 -p udp --dport 53 -j DNAT --to-destination 192.168.2.3
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 25 -j DNAT --to-destination 192.168.2.3
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.3
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 443 -j DNAT --to-destination 192.168.2.3
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 587 -j DNAT --to-destination 192.168.2.3
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 993 -j DNAT --to-destination 192.168.2.3
iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 4190 -j DNAT --to-destination 192.168.2.3

############################################
#                  SRCDS
############################################
iptables -t nat -A PREROUTING -i eno1 -p udp --dport 1200 -j DNAT --to-destination 192.168.2.2
iptables -t nat -A PREROUTING -i eno1 -p udp -m multiport --dport 27000:27015 -j DNAT --to-destination 192.168.2.2
iptables -t nat -A PREROUTING -i eno1 -p tcp -m multiport --dport 27015:27016 -j DNAT --to-destination 192.168.2.2
iptables -t nat -A PREROUTING -i eno1 -p udp --dport 27020 -j DNAT --to-destination 192.168.2.2
iptables -t nat -A PREROUTING -i eno1 -p tcp -m multiport --dport 27030:27039 -j DNAT --to-destination 192.168.2.2

############################################
#                  ISPCONFIG
############################################
#iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.4
#iptables -t nat -A PREROUTING -i eno1 -p tcp --dport 8080 -j DNAT --to-destination 192.168.2.4



La répétition de iptables -t nat -D PREROUTING 1 c'est ma façon dégueu de supprimer les règles avant de les recréer sinon elles s'entassent. C'est notamment pour ça que je dis qu'il doit manquer des trucs.

jeremyp3

  • Pau Broadband Country (64)
  • Client Orange Fibre
  • *
  • Messages: 561
  • FTTH 1Gb/s sur Pau (64)
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #13 le: 27 février 2021 à 00:32:02 »

La répétition de iptables -t nat -D PREROUTING 1 c'est ma façon dégueu de supprimer les règles avant de les recréer sinon elles s'entassent. C'est notamment pour ça que je dis qu'il doit manquer des trucs.

en fait il faut refaire ce que tu as fait en haut aussi dans la table nat:
iptables -t nat -f
iptables -t nat -x

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 7 924
  • Paris (75)
Quelle technologie VPN choisir afin de servir un service self hosted via un VPS
« Réponse #14 le: 27 février 2021 à 18:08:38 »
Tu peux utiliser ufw en frontal d'iptables si tu galeres avec iptables.

Citer
le but étant de n'avoir que quelques services de la machine via le tunnel Wireguard

exemple:
sudo ufw deny in on wg0
sudo ufw allow in on wg0 to any port 80 proto tcp
sudo ufw allow in on wg0 to any port 81 proto tcp from 192.168.0.0/16
=
block toute entrées sur wg0
autorise le port 80/tcp en entrée sur wg0 depuis n'importe ou
autorise le port 81/tcp en entrée sur wg0 que depuis 192.168.0.0/16

Apres l'évolution d'iptables c'est nftables mais peu de gens s'y mettent...ca peut être l'occasion.

Mais du coup, si ce qui passe dedans est déjà chiffré à la base (HTTPS au hasard), ça sert à rien de chiffrer au dessus de ça ?!

en non chiffré:
- tu vois les IP destinations du trafic HTTPS
- et y'a rarement que HTTPS qui passe, souvent y'a du DNS aussi voir des trucs non prévus et non chiffrés.