• [^] # Re: resumons

    Posté par . En réponse au message Faire passer le réseau de ma machine par un vps ?. Évalué à 2.

    Là, je t'ai donné des pistes pour présenter sur internet des services hébergés par la machine qui fera tourner le client VPN.
    L'unique chose à faire dans ce contexte est de t'assurer que les services que tu souhaites exposer soient également en écoute sur l'interface montée par OpenVPN (généralement, ça marche tout seul quand le service est configuré pour écouter sur INADDR_ANY/0.0.0.0.

    Si, outre ces services, tu dois exposer d'autres services sur d'autres machines de ton LAN domestique, il y a probablement un peu de boulot supplémentaire.

    Pour revenir sur la chaine FORWARD, iptables est composée de plusieurs tables elles même consistant en plusieurs chaines.

    La table la plus connue, celle utilisée par défaut si on omet le -t <table> est la table filter qui te permet de dire "ce port la je le ferme, celui la je l'ouvre que pour tel IP source", etc...
    Cette table contient, par défaut, les chaines INPUT (paquets entrants à destination de la machine), OUTPUT (paquets sortants de ta machine) et FORWARD (paquets pour lesquels ta machine n'est qu'un intermédiaire, ex: une GW internet).

    La table nat, qui régie les altérations de paquets (donc les redirections/translations) contient quant à elle les chaines PREROUTING (décision préalable au routage des paquets), POSTROUTING (décision après que le routage des paquets aie été actés) et égalementINPUT et ̀ OUTPUT(même contexte que pour la tablefilter`).

    Là, je t'ai donné des commandes permettant d'ajouter des règles dans la table nat.
    Cependant, ce n'est pas parce qu'une règle de translation existe dans la table nat qu'elle est automatiquement autorisé côté filter.
    C'est dans la chaine forward de la table filter que tu vas ensuite devoir autoriser les flux en question.

    J'ai cependant dit que y toucher était hypothétique car, sur une config "stock", la policy (décision par défaut) de la table FORWARD est bien souvent ACCEPT.
    Si toutefois, sur ta machine, elle est en policy DROP il te faudra autoriser explicitement les flux que tu auras configuré dans ta table nat.

    Je t'invite à lire une introduction à iptables qui te permettra d'avoir les idées plus claires à ce sujet.