You are here

Configurer le service de sortie du VPN GNUnet

Si vous voulez permettre à d'autres utilisateurs de partager votre connexion Internet (oui, cela peut être dangereux, tout comme l'exécution d'un nœud de sortie Tor) ou si vous voulez donner accès à des services de votre hôte (ce qui devrait être moins dangereux, pour autant que ces services sont sécurisé), vous devez activer le démon sortie GNUnet.

Vous devez alors spécifier les fonctions de sortie que vous souhaitez offrir. En activant le démon de sortie, vous fournirez toujours automatiquement les fonctions de sortie pour les services locaux configurés manuellement (ce composant du système est en cours de développement et non documenté davantage pour le moment). Comme pour les services dont vous spécifiez explicitement l'adresse IP et le port cible, il n'y a aucun risque de sécurité important, à faire ainsi.

Ensuite, vous pouvez servir de sortie DNS, IPv4 ou IPv6 pour Internet. Être une sortie de DNS est généralement assez inoffensif. Cependant, l'activation de la sortie IPv4 ou IPv6 sans autres précautions peut permettre à des adversaires d'accéder à votre réseau local, envoyer des mails, d'attaquer d'autres systèmes par votre connexion Internet et d'autres méfaits qui sembleront provenir de votre machine. Cela peut vous causer des ennuis juridiques. Si vous voulez permettre cette fonctionnalité, vous devriez sérieusement envisager d'ajouter des règles de pare-feu supplémentaires manuellement pour protéger votre réseau local et limiter le trafic TCP sortant (c'est à dire en ne permettant pas l'accès au port 25).

Nous prévoyons d'améliorer la sortie de filtrage à l'avenir. En attendant, vous devez être préparé pour tout type de trafic IP qui quitte l'interface TUN (et GNUnet permettra l'IP-forwarding et NAT pour l'interface automatiquement).

Les chapitre suivants montrent d'autres options de configuration de la fonctionnalité la sortie, comme indiqué par l'outil gnunet-setup.

Adresses IP des serveurs DNS externes

Si le trafic DNS quitte votre machine, il sera envoyé vers ce serveur qui fera la résolution DNS. Vous pouvez spécifier une adresse IPv4 ou IPv6.

Adresse IPv4 pour l'interface de sortie

Ce sont les adresses IPv4 que l'interface obtiendra. Faîtes le masque de l'adresse assez grand (255.255.0.0 ou, encore mieux, 255.0.0.0) pour permettre plus de correspondances d'adresses IP dans cette gamme. Quant à l'interface VPN, n'importe quelle adresse IPv4 privé non utilisée fera l'affaire.

Adresse IPv6 pour l'interface de sortie

Les adresse IPv6 publiques que l'interface obtiendra. Si votre noyau n'est pas très récent et que vous êtes prêt à activer manuellement IPv6-NAT, l'adresse IPv6 spécifiée ici doit être une adresse IPv6 routé à l'échelle mondiale de votre hôte.

Supposons que votre hôte a l'adresse 2001:4ca0::1234/64, vous pouvez utiliser 2001:4ca0::1:0/112 (garder les 64 premiers bits, puis changer au moins un bit dans la gamme avant le masque de bits, dans l'exemple ci-dessus, nous avons changé un bit de 111 de 0 à 1).

Vous pouvez aussi configurer votre routeur pour acheminer le trafic pour l'ensemble du sous-réseau (2001:4ca0::1:0/112 par exemple) via votre ordinateur (cela devrait être automatique avec IPv6, mais évidemment, tout peut être désactivé).