Damien TOURDE a écrit : > > Le 27/04/2015 11:20, Pascal Hambourg a écrit : >> Si la route par défaut est sur tun0 quand le VPN est actif, alors le >> filtrage devrait suffire. > > Lors d'une déconnexion VPN "accidentelle" (par ex. la connexion se > "coupe"), l'interface tun0 est supprimée et tout le transfert repasse > par wlan0 dans mon cas.
Avec un filtrage approprié ça ne passera plus. >> Note : pour UDP, il faut savoir si le port 51413 est le port source ou >> destination, dans les paquets UDP émis et reçus. > > Je ne sais pas trop comment fonctionne Transmission, il faut que je me > documente, quand je fais un netstat j'ai : Parfois une capture de paquets bien ciblée en apprend autant et plus rapidement qu'une longue lecture. > root@MBP-Debian-Damien:~# netstat -lnp | grep transmiss > tcp 0 0 0.0.0.0:51413 0.0.0.0:* LISTEN 6339/transmission-g > tcp6 0 0 :::51413 :::* LISTEN 6339/transmission-g > udp 0 0 0.0.0.0:46821 0.0.0.0:* 6339/transmission-g > udp 0 0 0.0.0.0:51413 0.0.0.0:* 6339/transmission-g On voit une socket UDP sur le port local 46821 que tu n'avais pas mentionné. S'il change à chaque fois que transmission est relancé, c'est un port aléatoire qui ne sert probablement que de port source pour envoyer des paquets UDP vers le port 51413 de machines distantes. Dans ce cas je pense qu'il devrait être suffisant de bloquer le port 51413 en source ou destination dans les paquets UDP émis ou reçus. iptables -I OUTPUT ! -o tun0 -p udp --dport 51413 -j DROP iptables -I OUTPUT ! -o tun0 -p udp --sport 51413 -j DROP iptables -I INPUT ! -i tun0 -p udp --dport 51413 -j DROP iptables -I INPUT ! -i tun0 -p udp --sport 51413 -j DROP > L'idéal serait de pouvoir dire que tout ce qui sort ou entre pour > l'application transmission-gtk doit passer par tun0, mais je ne suis pas > sur que ce soit possible. Un filtre de paquets comme iptables n'est pas vraiment conçu pour cela. Si le processus tourne avec un UID ou un GID spécifique, la correspondance "owner" permet d'identifier les paquets émis localement avec cet UID ou GID, mais pas les paquets reçus. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/553e7809.2070...@plouf.fr.eu.org
