OVH Community, votre nouvel espace communautaire.

Configuration firewall et connexion ftp


renaud-lehibe
17/02/2015, 10h37
Oui très bonne idée ! D'ailleurs voilà le lien qui correspond aux actions du manager.
https://api.ovh.com/console/#/ip/{ip}/firewall/{ipOnFirewall}/rule#POST

Par contre vu le type attendu par sur le destinationport je ne pense pas que cela soit possible non plus
Kioob
17/02/2015, 10h22
tu verras tout de suite
Ça c'est vite dit... cette page met des plombes à se charger. Wait and see
Et tous cas, je ne connais pas du tout, et ne pourrait guère t'aider. Éventuellement tu peux regarder du côté de l'API, des fois qu'il y aurait plus de méthodes que celles visibles dans le manager.
renaud-lehibe
17/02/2015, 10h03
Citation Envoyé par Kioob
mmm ok. Il s'agit d'un firewall hardware, dans le vrack ?
Vrack oui, mais je ne pense pas que le firewall ne soit applicable qu'au seul Vrack. En tout cas il ne s'agit pas d'un Cisco PIX si c'est ceux à quoi tu penses (en tout cas de mon point de vu car je ne sais pas ceux sur quoi tape l'interface).

Si tu passes par le Manager (new) Gestion des IP et que tu "actives ou juste configure sans activer" le firewall sur une IP tu verras tout de suite ce dont je parle

Renaud
Kioob
17/02/2015, 09h54
mmm ok. Il s'agit d'un firewall hardware, dans le vrack ?
renaud-lehibe
17/02/2015, 09h08
Citation Envoyé par Kioob
Bonjour,

pour ouvrir un range de port, il suffit de l'indiquer via iptables, par exemple :
Code:
iptables -A INPUT -p tcp --dport 40000:41000 -j ACCEPT
Et ensuite fournir le même range au serveur FTP.

Une alternative, si tu utilises la version non chiffrée de FTP (ce qui est déconseillé...), c'est d'utiliser le module ip_conntrack_ftp, qui permettra de tagger ces connexions en «RELATED», et ainsi pouvoir se contenter de ce type de règle :
Code:
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
Bonjour,

Tout d'abord merci pour la réponse, cependant ma question à due être mal comprise

Je ne parle pas du firewall sur les hosts/VM mais du firewall sur l'infrastructure OVH accessible via le manager pour les pools d'IP que j'utilise.

Bien à vous,
Renaud
Kioob
17/02/2015, 08h07
Bonjour,

pour ouvrir un range de port, il suffit de l'indiquer via iptables, par exemple :
Code:
iptables -A INPUT -p tcp --dport 40000:41000 -j ACCEPT
Et ensuite fournir le même range au serveur FTP.

Une alternative, si tu utilises la version non chiffrée de FTP (ce qui est déconseillé...), c'est d'utiliser le module ip_conntrack_ftp, qui permettra de tagger ces connexions en «RELATED», et ainsi pouvoir se contenter de ce type de règle :
Code:
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
renaud-lehibe
17/02/2015, 07h13
Bonjour,

J'ai un soucis existentiel Je suis entrain de configurer sur certaines IP critiques des règles de firewall au niveau de l'infrastructure OVH.

Du coup je me pose la question de comment se passe la configuration au niveau FTP ?

En effet le port ftp-data en connexion passive est "prédictible" de mon coté mais comment configurer un range de port au niveau du firewall ? En effet dans le manager il ne semble pas possible d'indiquer un range de port...

Si vous avez des tips je suis preneur !

Renaud