OVH Community, votre nouvel espace communautaire.

Conf iptables


captainadmin
15/12/2014, 13h46
Citation Envoyé par bbr18
il a un kimsufi et il n'est plus possible depuis environ un an d'ajouter des IP FO, c'est uniquement 1 IPV4 et 1 IPV6 par serveur.
Pardon, le "grosse machine de guerre" m'a induit en erreur

Bonne journée
http://www.captainadmin.com

bbr18
15/12/2014, 06h49
Chez OVH, les ip te coutent en frais d'installation uniquement
il a un kimsufi et il n'est plus possible depuis environ un an d'ajouter des IP FO, c'est uniquement 1 IPV4 et 1 IPV6 par serveur.

captainadmin
14/12/2014, 23h08
Bonsoir,

Le NAT c'est sale, le mieux est d'avoir une ip pour ton proxmox (ip d'administration) et une ip pour tes vm (ip de production)
Chez OVH, les ip te coutent en frais d'installation uniquement, il est intéressant d'en avoir pour chaque service indépendamment de tes vm.
Si tu veux utiliser la meme ip pour tous les vhosts sur chaque vm, il faut mieux utiliser un reverseproxy qui fera le dispatch.
Si tu as des besoins spécifiques pour joindre tes vm sur un port donné, utilise une ip dédié avec le firewall qui va bien sur ta vm.

Bonne soirée
http://www.captainadmin.com

deadbird
14/12/2014, 22h10
Citation Envoyé par bbr18
je suppose que ton serveur "bête de guerre" n'est pas un kimsufi donc que tu peux avoir des IP supplémentaires pour mettre tes VM ou CT, alors pas besoin de faire du nat
Eeeeeeh ben si! et donc non, pas d'IP supplémentaire! Et donc si, NAT obligatoire

bbr18
14/12/2014, 21h56
je suppose que ton serveur "bête de guerre" n'est pas un kimsufi donc que tu peux avoir des IP supplémentaires pour mettre tes VM ou CT, alors pas besoin de faire du nat

deadbird
14/12/2014, 21h42
Bon j'ai réussi à résoudre mon premier problème, celui de l'auth sur Proxmox. En ajoutant l'ouverture du loopback, ça marche:

Code:
# Allow loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Citation Envoyé par bbr18
il n'est pas utile d'ouvrir certains ports sur l'hôte
tu peux regarder mon firewall si tu veux pour compléter, la partie nat est inutile si tu utilises des IP FO.
Tu peux préciser? Je vais aller voir ton thread en attendant

bbr18
14/12/2014, 21h33
il n'est pas utile d'ouvrir certains ports sur l'hôte
tu peux regarder mon firewall si tu veux pour compléter, la partie nat est inutile si tu utilises des IP FO.

deadbird
14/12/2014, 21h08
Bonjour à tous!

Le message qui suit est un appel au secours

Pour situer le contexte, on va dire que j'ai un serveur dédié depuis bien longtemps, un petit Atom tout mignon. Là, je me suis chopé une grosse machine de guerre. Et du coup je compte lui en mettre plein la tronche, histoire de bien le rentabiliser le bougre!

L'idée est la suivante installer Proxmox sur l'hôte, puis plusieurs VM, chacune étant dédiée à une tâche: une pour mon site Web, une pour mon Git, et ainsi de suite.

Du coup je me suis lancé à corps perdu dans la conf iptables, et j'avoue que j'ai un peu de mal. Je me suis composé un script from scratch, que voici:

Code:
#!/bin/bash

# Empty any existing rule
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Remove personnal chains
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Enable ESTABLISHED and RELATED communications, accepts answers
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable ping
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 5/s -j ACCEPT

# Enable remote acccess through SSH
iptables -A INPUT -p TCP --dport ssh -j ACCEPT
iptables -A INPUT -p TCP --dport http -j ACCEPT

# ACCEPT DNS
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT

# Web output (HTTP & HTTPS)
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -j ACCEPT

# Open ports for proxmox input
iptables -I INPUT -p tcp --dport 8006 -j ACCEPT
iptables -I INPUT -p tcp --dport 5900 -j ACCEPT
iptables -I INPUT -p tcp --dport 5999 -j ACCEPT
iptables -I INPUT -p tcp --dport 3128 -j ACCEPT

# Default to DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Là, pas encore de routage de flux. Mon but est d'ouvrir les ports nécessaires pour que proxmox puisse bosser tranquille sur une machine bien fermée.

Avec ce script, j'arrive à afficher l'interface de proxmox, mais pas à m'y connecter. Quand je me connecte, il me dit "Login failed. Please try again".

Pas moyen d'aller plus loin. Je pensais avoir ouvert tous les ports qui vont bien, mais apparemment non: quand je flush toutes les règles, j'arrive à nouveau à me connecter!

Quelqu'un a une idée?