Vie privée : régler le pare-feu pour le VPN

Salut à toi lecteur avide de connaissances nouvelles et libres

Aujourd’hui, poursuivons notre quête de vie privée avec ce dernier article à propos du VPN. Si tu m’as suivi jusque là, tu as appris le principe du fonctionnement d’un VPN, tu as découvert les VPN les plus recommandables et tu sais faire fonctionner un VPN gratuit sur ta machine linux. Bien! mais faut-il relâcher la pression pour autant? ça serait dommage car il manque encore une ultime étape pour que tout soit en place : le réglage du pare-feu.

Comme je te l’ai expliqué au début, le VPN se comporte comme une machine sur un réseau local. Autrement dit, quand tu te connectes à ton VPN, tu es en communication directe avec le serveur. Ton routeur (ta box par exemple) devient totalement transparent, c’est comme s’il n’existait plus. Il ne peut donc pas jouer son rôle de filtre. Quand tu vas sur internet d’habitude, ta box te protège en bloquant toute tentative d’intrusion depuis l’extérieur, ce qui rend l’utilisation d’un pare-feu (firewall) pratiquement inutile. Mais dans le cas d’une connexion VPN, tu deviens vulnérable si tu ne penses pas à mettre en place le pare-feu.

Par ailleurs, tu dois te demander : qu’est-ce qui se passera si je perds ma connexion VPN au beau milieu d’une session un peu « sensible » ? Hé bien la connexion qui passait par le VPN risque fort de se rétablir automatiquement sans VPN et tu te retrouves « tout nu » (vis-à-vis de ton fournisseur d’accès).

On a donc deux bonnes raisons de mettre en place un pare-feu et de le configurer comme il faut.

Sous linux, la gestion du pare-feu peut se faire simplement avec le logiciel ufw (uncomplicated firewall). Tu vas voir qu’effectivement c’est pas très compliqué à comprendre. Le logiciel ufw est installé par défaut sur certaines distributions. Tape ufw –help et tu verras ce qu’il te dit. Je te conseille d’installer en plus son interface graphique qui s’appelle gufw.

 

Configuration de ufw pour le VPN :

Ouvre un terminal et lance l’interface graphique gufw.

gufw2

Tu verras un bouton ‘Unlock’ en bas à droite de la fenêtre. Tu dois cliquer dessus et entrer ton mot de passe administrateur.

La première chose à faire est de bloquer tout le trafic entrant et tout le trafic sortant sur ton ordinateur. Comme ça tu es vraiment protégé 🙂  Pour ça, choisis ‘Deny’ dans les entrées Entrant et Sortant qui se trouvent en haut à gauche de la fenêtre. Après ça, tu as plus qu’à entrer les exceptions.

Ouvre un nouveau terminal.

D’abord il faut ajouter une autorisation pour tous les serveurs VPN que tu as l’intention d’utiliser. Il se peut qu’il y en ait qu’un, suivant le service VPN que tu utilises… Il faut que tu récupères son/leur adresse IP. Où ça? Hé ben normalement tu as téléchargé les fichiers de configuration OpenVPN qui se terminent par l’extension .opvn. Tu ouvres ce/ces fichiers avec un éditeur de texte et tu auras dedans l’adresse IP du/des serveurs VPN, du genre 12.34.567.89.

Pour chaque adresse IP (une par serveur) tape la commande suivante :

sudo ufw allow out from any to 12.34.567.89

Pour chaque nouveau serveur, tu peux vérifier que la règle est bien enregistrée en appuyant sur la touche F5 dans gufw. En cas d’erreur, tu sélectionnes la règle dans la liste et tu cliques sur le bouton « – » qui se trouve en bas.

Tu peux maintenant te connecter à ces serveurs et communiquer avec eux.

Il faut maintenant ajouter une règle pour autoriser la communication à travers le tunnel VPN.  La connexion au VPN crée une nouvelle interface réseau qui s’appelle tun0  (« tun-zéro »).

Tu tapes la commande :

sudo ufw allow out on tun0 from any to any

Oublie pas de taper sur F5 pour que la régle s’affiche.

Et voilà, c’est tout! T’as plus qu’à lancer le pare-feu en cliquant sur le bouton ‘Status’ en haut à gauche. Statut : 1 actif, 0 inactif.

Quand tu fermes la fenêtre de gufw et même quand tu éteins ton PC, les règles et le statut on/off du parefeu sont sauvegardés, tu n’as plus à t’en occuper.

Bon, on a bien travaillé, on est bon pour cette fois.

Il y aura encore un dernier post dans cette série, dans lequel je vous diré tout ce que je vous ai pas encore expliqué sur le sujet…

 

Note :

Pour accéder au réseau local, pour accéder à la page de configuration de ta box notamment, tu auras besoin d’ajouter la règle suivante :

sudo ufw allow out on wlan0 from any to 192.168.1.0/24

J’ai mis wlan0 mais ça peut-être autre chose. Tu as la liste des interfaces réseau avec la commande ifconfig.

 


Leave a Reply