Bonjour,  
 
Je teste actuellement Debian pour me séparer de Windows Server.  
Sur le serveur Debian, je suis en train de tester Samba et j'ai quelques soucis de sécurité...  
 
J'ai configuré UFW pour bloquer toute connexion au serveur SAMBA puis j'ai ajouté des règles pour autoriser une plage d'adresses IP spécifique à s'y connecter. Cette plage d'adresses IP fait partie d'un réseau VPN PPTP.  
 
Tout se passe bien; Samba n'est accessible que par le biais du VPN.  
 
Le problème réside dans le fait que le VPN donne accès à mon réseau local!...  
Je souhaite que le VPN donne accès à Internet par le biais du modem local, ça oui... mais qu'il ne laisse pas l'accès aux machines du réseau local!... Et en particulier au modem local!  
 
J'ai tenté d'ajouter une règle à UFW pour bloquer le trafic VPN vers le local mais ça fonctionne pas  
(règle testée ; ufw deny from 172.20.10.1 to 10.0.2.1)  
 
 
J'ai configuré UFW avec les règles suivantes;  
Depuis Anywhere Vers 1723/tcp Allow  
Depuis 172.20.10.1 Vers 445/tcp Allow  
Depuis 172.20.10.2 Vers 445/tcp Allow  
Depuis 172.20.10.3 Vers 445/tcp Allow  
 
Interface réseau et config du serveur SAMBA & VPN;  
IPv4 statique : 10.0.2.200  
SubNet : 255.255.255.0  
Passerelle : 10.0.2.1  
DNS : 10.0.2.1  
 
Adresses IP VPN PPTP;  
IPv4 : 172.20.10.1 - 172.20.10.254  
 
 
Quelqu'un a une idée?

Il nous faudra plus d'infos.
 
Quelle plage d'ip correspond à quoi, ...

Réseau local;
Adresses IP: 10.0.2.XXX
Attribution manuelle, pas de serveur DHCP.
Masque de sous-réseau: 255.255.255.0
Passerelle Internet: 10.0.2.1
Serveur DNS: 10.0.2.1
 
Adresse IP publique Internet; 46.14.158.114
 
Serveur VPN PPTP: 10.0.2.200
 
Serveur SAMBA: 10.0.2.200
 
Plage d'adresses IP fournies aux clients PPTP; 172.20.10.1 @ 172.20.10.100
Attribution d'adresses IP VPN dynamique selon disponibilité
 
 
But recherché;
Créer un tunnel VPN PPTP afin de limiter exclusivement les clients VPN a accéder au serveur SAMBA.
 
Problématique rencontrée;
Le tunnel VPN fonctionne et donne accès au serveur SAMBA hébergé sur la même machine alors qu'il est impossible d'y accéder depuis l'extérieur (même localement si non client VPN)... Cependant, le tunnel VPN ouvre les portes du réseau local interne (10.0.2.XXX) et permet donc aux clients VPN, d'accéder au différents appareils sur le réseau d'entreprise, ce qui est intolérable (accès au modem!).
 
Problèmes collatéraux/non-prioritaire;
Le client VPN utilise la connexion Internet du réseau d'entreprise pour sa navigation. La fonctionnalité MPPC n'est pas prise en charge par PPTPD de Debian, pas de compression des données.
 
Règles présentes dans UFW;
DENY From Any To Any
ALLOW From 172.20.10.0 To 445/tcp
DENY From Any To 10.0.2.0
 
 

Ton allow autorise 172.20.10.0/24 à accéder a toutes les adresses sur le 445, donc au réseau local. Peux-tu limiter uniquement au serveur samba ?

Ah?
J'ai lu la doc d'UFW mais j'ai du louper le passage où, quand on ne spécifie pas l'adresse de destination, ça voulait dire "toutes les adresses"... Cependant, ça devrait limiter la faille qu'au port 445?
 
Bref- J'ai testé UFW configuré ainsi (ordre des règles);
 
Deny from any to any
Allow from any to 10.0.2.200 1723/tcp
 
Ça ne fonctionne pas car il semblerait que l'ordre de priorité des règles est décroissante (deny from any to any est la plus importante).
 
J'ai donc inversé les règles et là, je récupère l'accès au VPN- mais encore une fois, je peux toujours atteindre le réseau local par le biais de celui-ci.

Il faut voir dans quel ordre les règles sont évaluées.