Iptables marquer toute une connexion

Malakai · Le 18/11/2014, à 21:01

Salut,

J'ai un petite question un peu technique liee a l'utilisation d'iptables et je voudrais savoir si ce que je veux realiser est possible.

La situation :
Je n'habite pas en France mais je veux avoir acces aux replays francais, donc pour cela j'utilise un VPN situe en France et tout est nickel. J'ai une machine sous GNU/Linux qui s'occupe du reseau interne, internet et de la connexion VPN pour que tout le reseau puisse avoir acces au travers du VPN.

Le probleme :
Pour avoir acces a internet au travers du VPN j'execute ponctuellement une commande iptables qui marque tout les paquets a destination des ports 80, 443 et 1935 (pour le rtmp) et ces paquets sont routes grace a une autre table de routage ou l'ip du serveur VPN est la passerelle par defaut. Une fois que j'ai visionne ce que je voulais je supprime la regle iptables afin d'avoir acces au web par mon FAI. Le probleme est que lorsque la regle est active toutes les connexions sur ces ports passent par le VPN, chose que je ne veux pas. En gros je voudrais que la regle soit tout le temps active et que si je me connecte a 6play.fr toutes les connexions relatives passent par le VPN mais que tout le reste passe par mon FAI.

Le debut de solution :
Je me suis donc demande s'il n'etait pas possible de marquer uniquement les paquets vers certaines ips; prenons comme exemple 6play.fr

L'ip de 6play.fr est 141.138.91.58, sauf que le contenu sur le site ne se trouve pas sur cette ip mais sur de nombreux autres serveurs avec d'autres ips; ainsi le reste des connexions ne passent pas au travers du VPN.

J'ai fais quelques recherches sur internet et je pense que ce qu'il me faut est CONNMARK qui, a ce que j'ai compris, devrait marquer toute la connexion et pas seulement les paquets dont la destination est l'ip de 6play.fr. DEJA JE VOUDRAIS ETRE SUR D'AVOIR BIEN COMPRIS.

La question :
Ainsi est-il possible de marquer toutes les connexions relatives a l'ip de 6play.fr afin que la seconde table de routage soit utilisee egalement pour le contenu venant de 6play.fr?

Comment faire et surtout comment utiliser CONNMARK si c'est la chose a utiliser car selon les tutos il faut faire un mark-restore puis les regles et enfin un mark-save.... en gros j'ai pas tout compris.

Merci a celui ou ceux qui liront tous le post et qui y repondront.

tiramiseb · Le 19/11/2014, à 08:14

Salut,

je pense que ce qu'il me faut est CONNMARK qui, a ce que j'ai compris, devrait marquer toute la connexion et pas seulement les paquets dont la destination est l'ip de 6play.fr

Sauf qu'il y a confusion dans ta tête...
Une connexion, ça va d'une adresse IP à une autre. De ton PC à un serveur. Pas plus loin. Quand ton navigateur charge des flux venant d'une autre adresse IP que celle du serveur sus-cité, alors c'est une nouvelle connexion.

Par conséquent, tu comprendras aisément qu'il n'y a malheureusement pas de solution à ton problème... à part identifier clairement chaque adresse IP concernée par ces accès !

Malakai · Le 19/11/2014, à 19:30

Pas faux.... maintenant que tu me l'as explique cela parait evident .... mais y'a t-il un moyen de connaitre les ips utilisees par 6play.fr pour diffuser ses flux? Comme ca je met une regle iptables avec toutes les ip et puis c'est bon .... ou pas (trop d'ips, pas de moyens simple de toutes les identifiers ...)

tiramiseb · Le 19/11/2014, à 20:10

Alors là, je ne saurais pas du tout te répondre à propos des adresses utilisées par 6play...

mazarini · Le 19/11/2014, à 21:18

Il faudrait que tu regardes les ip concernées. Avec un peu de chance, ces ip font partie du même réseau et un filtre sur le réseau peut suffire.
M6 possède la plage 141.138.90.0 - 141.138.92.255, 141.138.90.0/22 doit faire l'affaire à la louche mais je laisse les spécialistes réseaux faire le calcul.

tiramiseb · Le 19/11/2014, à 21:20

Enfin les adresses en question, c'est peut-être un CDN...

mazarini · Le 19/11/2014, à 21:32

Ca doit se faire rapidement le test en routant le réseau 141.138.90.0/22 via le vpn ?
Je reconnais que c'est du pifomètre.

bobe · Le 20/11/2014, à 02:39

Ce serait bien plus simple d'utiliser une instance spécifique de ton navigateur pour accéder à 6play.fr non ?

tiramiseb · Le 20/11/2014, à 09:38

Très bonne idée, bobe. Mettre un proxy sur le serveur VPN et dire à un profil du navigateur de passer par le proxy... Au moins ça fonctionnerait

Malakai · Le 20/11/2014, à 21:04

C'est vrai que je n'avais pas pense a une instance du navigateur avec un proxy, mais jusqu'a present je ne me suis pas penche sur l'installation d'un serveur proxy donc je prefererais une solution avec iptables et OpenVPN.

Sinon ce que je peux faire c'est demarrer une instance du navigateur avec un autre utilisateur, marquer les paquets de cet utilisateur sur mon pc et les envoyer a la passerelle qui les routes selon le marquage... c'est possible?

J'ai pas vraiment le temps ces jours-ci pour faire des tests mais des que je peux je verifierais les differentes solutions (proxy, vpn et iptables, differente instance du navigateur etc) et reviendrais poster ici.

Merci pour les suggestions.

tiramiseb · Le 20/11/2014, à 21:07

Concernant le proxy, tu peux faire un tunnel SSH avec proxy SOCKS (option -D).

Sinon, un proxy c'est assez simple à installer, par exemple Tinyproxy...

[...] marquer les paquets de cet utilisateur [...]

C'est possible mais bien + tordu et, à mon avis, plus difficile.

Malakai · Le 20/11/2014, à 21:12

J'avais deja essaye avec SSH il y a quelques temps (6 mois?) et ca marche selon mes souvenirs mais je trouvais la methode assez bizarre, c'est a dire que SSH a la base est pas fait pour ca donc je me disais qu'il fallait utiliser une solution plus adaptee (OpenVPN).

Mais je vais me pencher sur le proxy (SSH ou autre) sauf que je vais pas trop avoir le temps pour l'instant.

En tout cas merci pour les idees.

tiramiseb · Le 20/11/2014, à 21:14

SSH a la base est pas fait pour ca

Ah bon ? SSH est fait pour quoi, à la base, selon toi ?

... SSH est fait pour ça et plein d'autres choses (redirection de flux graphiques X11, redirection de ports dans les deux sens, transfert de fichiers, etc). SSH est une boîte à outils réseau multiusages !

Malakai · Le 20/11/2014, à 21:21

tiramiseb a écrit :

SSH est une boîte à outils réseau multiusages !

C'est vrai mais je pensais que dans mon cas OpenVPN etait plus adapte. Apparemment pas vu que je vais devoir utiliser ssh ou un autre proxy.

OpenVPN etait vraiment bien couple a iptables parce que l'idee au debut etait de mettre ca en place sur la passerelle et que tous le reseau utilise ces regles et ne plus devoir faire de configuration sur chaque machine (en meme temps c'est pas comme si j'avais des dizaines de machines). Sauf que ca ne marche pas pour les sites de streaming surtout que comme tu le dis ceux-ci utilisent souvent des CDN (et c'est le cas de 6play.fr)

bobe · Le 20/11/2014, à 22:32

Si le navigateur en question gère les extensions, il y en a peut-être qui permettent l'utilisation automatique d'un proxy pour certains domaines définis dans la configuration.
Ou bien une extension qui ajoute un bouton dans l'interface permettant d'activer/désactiver d'un simple click l'utilisation du proxy. Tu aurais quelque chose d'assez similaire au mode "navigation privée".

tiramiseb · Le 20/11/2014, à 22:36

bobe a écrit :

utilisation automatique d'un proxy pour certains domaines

Sauf que le CDN ne rentrera peut-être pas dans le lot, vu qu'il a peut-être un domaine qu'on ne peut pas déterminer à l'avance.

L'activation du proxy en un clic peut être intéressant par contre, en effet.

bobe · Le 20/11/2014, à 22:41

tiramiseb a écrit :

bobe a écrit :
utilisation automatique d'un proxy pour certains domaines
Sauf que le CDN ne rentrera peut-être pas dans le lot, vu qu'il a peut-être un domaine qu'on ne peut pas déterminer à l'avance.

Oui, la problématique serait la même qu'avec iptables. Trouver les domaines/IP pour lesquels l'accès doit se faire en passant par une adresse ip en france.

Malakai · Le 22/11/2014, à 00:12

Bon, le premier test rapide que j'ai pu faire avec iptables et le reseau 141.138.90.0/22 ne marche apparemment pas, vu que j'ai un message disant que je suis pas en France.

Reste a tester le reste (proxy et ssh), mais la j'aurais pas le temps.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 18/11/2014, à 21:01

Iptables marquer toute une connexion

#2 Le 19/11/2014, à 08:14

Re : Iptables marquer toute une connexion

#3 Le 19/11/2014, à 19:30

Re : Iptables marquer toute une connexion

#4 Le 19/11/2014, à 20:10

Re : Iptables marquer toute une connexion

#5 Le 19/11/2014, à 21:18

Re : Iptables marquer toute une connexion

#6 Le 19/11/2014, à 21:20

Re : Iptables marquer toute une connexion

#7 Le 19/11/2014, à 21:32

Re : Iptables marquer toute une connexion

#8 Le 20/11/2014, à 02:39

Re : Iptables marquer toute une connexion

#9 Le 20/11/2014, à 09:38

Re : Iptables marquer toute une connexion

#10 Le 20/11/2014, à 21:04

Re : Iptables marquer toute une connexion

#11 Le 20/11/2014, à 21:07

Re : Iptables marquer toute une connexion

#12 Le 20/11/2014, à 21:12

Re : Iptables marquer toute une connexion

#13 Le 20/11/2014, à 21:14

Re : Iptables marquer toute une connexion

#14 Le 20/11/2014, à 21:21

Re : Iptables marquer toute une connexion

#15 Le 20/11/2014, à 22:32

Re : Iptables marquer toute une connexion

#16 Le 20/11/2014, à 22:36

Re : Iptables marquer toute une connexion

#17 Le 20/11/2014, à 22:41

Re : Iptables marquer toute une connexion

#18 Le 22/11/2014, à 00:12

Re : Iptables marquer toute une connexion

Pied de page des forums