FroggyBlog

Tinyproxy est un petit proxy comme son l’indique pour les systèmes POSIX.

Il est disponible pour Frugalware

Installation :
# pacman-g2 -S tinyproxy

Configuration :
Editer le fichier /etc/tinyproxy.conf

Il suffit d’ajouter les adresses IP qui peuvent utiliser ce proxy :
Allow 127.0.0.1
Allow XX.XX.XX.XX

Par défaut tinyproxy utilise le port 1024 :
Port 1024

Activer/démarrer le service :
# systemctl enable tinyproxy.service
# systemctl start tinyproxy.service

Securiser tinyproxy par tunnel SSH :
Il suffit juste de créer un tunnel ssh sur le port 1024 avec le serveur qui héberge tinyproxy et de seulement autoriser l’adresse IP 127.0.0.1 dans /etc/tinyproxy.conf .

Vous pouvez utiliser aussi cette solution si pour une raison X ou Y vous êtes derrière un pare feu qui bloque les proxy.

Dans votre navigateur il suffit d’indiquer un proxy localhost sur le port 1024.

OpenVPN permet à des pairs de s’authentifier entre eux à l’aide d’une clé privée partagée à l’avance, de certificats ou de couples de noms d’utilisateur/mot de passe. Il utilise de manière intensive la bibliothèque d’authentification OpenSSL ainsi que le protocole SSLv3/TLSv1. Disponible sous Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, Windows 2000, XP, Vista et 7, il offre aussi de nombreuses fonctions de sécurité et de contrôle.
(source wikipedia)

Récemment, j’ai ajouté le support PAM à openvpn dans frugalware.

Installation de Openvpn :
# pacman-g2 -S openvpn

Configuration :
# cp /usr/share/doc/openvpn-2.1.3/easy-rsa/2.0/ /etc/openvpn/easy-rsa/ -R
# cd /etc/openvpn/easy-rsa/
# nano vars
Change value of :
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"

# source ./vars
# ./clean-all
# ./build-ca
# ./build-dh
Génération des clés du serveur :
# ./build-key-server server
# openvpn --genkey --secret keys/ta.key

Installation des clés :
# cd keys/
# cp ca.crt dh1024.pem server.key ta.key server.crt ../../

Edition du fichier de configuration coté serveur :
/etc/openvpn/openvpn.conf

port 1194
proto udp
dev tun0

push "redirect-gateway def1"
push "dhcp-option DNS xxx.xxx.xxx.xxx" #Optional : DNS server

Démarrer le vpn :
#!/bin/sh
cd /etc/openvpn
openvpn openvpn.conf &
modprobe iptable_nat
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F FORWARD
iptables -F INPUT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A INPUT -s 10.8.0.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE


Coté client :
Récupérer la clé ca.crt du serveur et la coller dans /etc/openvpn.

Edition du fichier de configuration
/etc/openvpn/client.conf
client
dev tun
remote OpenvpnAdressIP 1194 # Adresse & port
proto udp
nobind
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cipher BF-CBC
comp-lzo
verb 3
auth-user-pass
route-method exe
route-delay 2

Démarrer le client :

# cd /etc/openvpn
# openvpn client.conf


Maintenant tous les utilisateurs qui on un compte sur ce serveur peuvent utiliser ce vpn.

J’ai acheté une IP failover pour 1€ chez dedibox afin de virtualiser certains services comme le forum et wiki de frugalware.

Je fais des sauvegardes de ce serveur, mais c’est c’est quand même plus simple de sauvegarder une machine virtuelle et de la remettre en place si besoin. C’est mon opinion. le plus long est souvent de reconfigurer le serveur, plutôt que de réinstaller les différents services.

En premier lieu, acheter une ip failover et associer une adresse mac à cette IP dans la console online.

Sur la machine hote :
J’ai désactivé l’IPV6 que je n’utilise pas :
Editer /etc/sysctl.conf afin d’y ajouter
#disable ipv6 for eth0 only
net.ipv6.conf.eth0.disable_ipv6 = 1

Créer une interface dummy :
# modprobe dummy numdummies=1
numdummies=1, car je n’utilise qu’un seul bridge
Charger le module au démarrage de la machine :
Editer /etc/syconfig/modules et ajouter
dummy numdummies=1

Configuration du bridge :
Création du script /usr/bin/brigde.sh
ifconfig dummy0 up
brctl addbr fail0
brctl addif fail0 dummy0
ifconfig fail0 up
route add IPFAILOVER dev fail0
#authorize proxy arp for eth0 and fail0
echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo "1" > /proc/sys/net/ipv4/conf/fail0/proxy_arp

Pour activer le bridge au lancement de la machine, éditer /etc/sysconfig/network/default
[eth0]
options = IPHOST netmask 255.255.255.0
gateway = default gw IPGATEWAY
post_up = /usr/bin/brigde.sh

virt-manager :
Créer une machine virtuelle avec un réseau virtuel sur le bridge fail0.
(avec virt-manager tout peux se faire de manière graphique)
Dans la configuration de votre machine virtuelle indiquer l’adresse mac renseignée sur votre console online, sinon leur pont réseau coupera votre serveur pensant qu’il s’agit d’une attaque.

Configuration de la machine virtuelle :
Créer un script /usr/bin/routevm.sh
route add IPGATEWAY dev eth0
route add default gw IPGATEWAY

Configuration du réseau de la machine virtuelle
Editer /etc/sysconfig/network/default
[eth0]
options = IPFAILOVER netmask 255.255.255.0
post_up = /usr/bin/routevm.sh

Redémarrer votre machine virtuelle, celle-ci est accessible comme un serveur à part entiere. La solution est simple/libre et elle marche pourquoi s’en passer

PS : l’hote et les machines virtuelles tournent sous frugalware stable.