Bonjour à toutes et à tous,
J'utilise des instances "public cloud" pour réaliser une infrastructure d'hébergement web sous Windows Server 2019 et 2022. Afin de renforcer la sécurité de mes serveurs, je souhaiterais mettre en place les firewalls d'ip OVH.
Je rencontre cependant un souci : Quand j'active le parefeu OVH sur mon frontal web par exemple qui ne nécessite en théorie que le port 443 (HTTPS) et éventuellement le port 80 (HTTP), ce dernier est bien accessible sur les ports configurés (j'accède parfaitement aux sites hébergés dessus), mais quand je me connecte en remote desktop dessus, le serveur lui-même "n'a plus accès" à Internet... Si je lance Chrome, ou même une commande ping depuis le serveur, impossible de joindre qui que ce soit ! Ce qui n'est pas le cas, si je réalise la même opération en redémarrant le serveur en mode "rescue". Dès lors que je désactive le parefeu ovh, l'accès internet depuis le serveur fonctionne de nouveau parfaitement !
Ma configuration de parefeu est la suivante :
0 - AUTORISER - TCP - TOUS - established
1 - AUTORISER - TCP - TOUS - Port destination : 80
2 - AUTORISER - TCP - TOUS - Port destination : 443
18 - AUTORISER - ICMP - TOUS
19 - REFUSER - IPv4 - TOUS
Je ne comprend pas trop ce comportement car le parefeu n'est censé filtrer que le traffic entrant ?!
Dans l'espoir de trouver de l'aide ici,
Merci à tous d'avance !
Public Cloud OVHcloud - Configuration Firewall IP et Windows Server
Related questions
- Dimensionnement serveur MySQL
41741 
07.11.2018 12:32
- [RESOLU] Connexion impossible en SSH
35087 05.06.2019 20:05
- Bonjour, Je n'est reçus aucun mot de passe root lors de mon achat!
30419 05.02.2018 20:47
- Gitlab private docker registry
30281 16.03.2018 13:05
- Configuration IP failover avec netplan (Ubuntu 17.10)
29093 12.01.2018 23:23
- Ssh connection timed out port 22
28157 11.12.2019 08:21
- IP Failover sur Debian 9
27768 18.11.2016 20:40
- Problème connexion ssh
27226 04.02.2018 09:46
- Instance Public Cloud en "error"
25342 15.12.2025 10:04
- Connexion OpenStack Swift Object Storage
22043 11.04.2019 10:09
Bonjour,
Je dirais qu'il manque la partie DNS éventuellement.
Cordialement, janus57
Peux-tu me détailler un peu plus stp ? :)
Il manquerait une règle concernant les DNS dans les règles du parefeu ?
autoriser UDP port source 53
Bonjour,
au passage le firewall OVH ne protège que en entrée/sortie du réseau OVH.
Cordialement, janus57
Je reconnais ne pas être un grand spécialiste dans ce domaine.
Je souhaiterais en fait simplement sécuriser un peu l'exposition de mes serveurs, en ne laissant ouvert uniquement les ports nécessaires au bon fonctionnement de l'infrastructure (hébergement web). Je préfère que les requêtes "non souhaitées" soit bloquées en amont par un pare feu, plutôt que par le pare feu du serveur, est-ce pertinent ?
Je pensais que le "Firewall IP" d'ovh ne bloquait que les requêtes entrantes, ce n'est pas le cas ? C'est pour cela que j'ai du mal a comprendre mon problème, mais si il bloque également le traffic sortant, cela semble plus logique effectivement...
Bonjour,
Oui et non.
Cela dépend de ce que vous entendez par "requêtes non souhaitées".
C'est le cas et donc cela bloque le retour de la réponse DNS qui est de l'UDP.
Là dans vos règles vous autorisez seulement les requêtes TCP émises par votre serveur à de nouveaux rentrer (ligne 0).
Sauf que ça en UDP cela n'existe pas.
Cordialement, janus57
Par exemple les tentatives de connexion via SSH, SFTP ou MYSQL que je n'utilise pas sur certains de mes serveurs, je souhaiterais purement et simplement les bloquer si elle n'ont pas lieu d'être.
En ajoutant la regle d'autorisation du port source 53 en UDP, le serveur semble effectivement parvenir à atteindre les hôtes exterieures :) Je laisse comme ça afin de vérifier que tout est ok, et vous tiens informé.
Merci beaucoup !
Bonjour,
Perso je mettrai tout les Windows derrière un firewall centre et utiliserait le vrack.
Perso je ne laisserai pas un serveur Windows en direct sur internet.
Cordialement, janus57
Bonjour à tous,
@ClementG25, si un des différents retours répond à votre demande, je vous invite à marquer ce dernier comme solution.
Dans le cas contraire, n’hésitez pas à ajouter des informations afin qu’une nouvelle réponse vous soit apportée par la communauté.
^FabL