Bonjour,
Je viens d'activer le FW sur mes instances public cloud et j'avoue que je ne comprends pas bien son fonctionnement.
Ce qui n'est pas explicitement autorisé n'est pas automatiquement interdit?
Fonctionnement du FW sur les instances public cloud
Related questions
- Bloquer des plages d'adresses IP
10975 
18.10.2024 14:46
- VPN Site à Site entre OVH et infrastructure locale
6358 27.05.2023 12:19
- IP client impossible à récupérer
6233 31.12.2017 12:29
- IPLB et deux serveurs VPN
6094 11.10.2016 21:12
- SSL activé et non reconnu sur site wordpress
5995 17.02.2018 09:24
- vRack entre deux DC
5833 29.10.2016 15:34
- Parefeu OVH et ICMP
5788 13.05.2020 12:52
- [IPLB NextGen] Redirection http vers https
5271 13.04.2017 17:02
- Récupérer real IP derriere IPLB
5056 25.10.2016 12:20
Salut Jerome,
par défaut les firewall (network et openstack) sont totalements ouverts.
C'est à toi de définir les règles par défaut + les règles au cas par cas.
Cette politique par défaut a certainenement était définit dans le temps car une majorité d'utilisateurs néophytes ne comprenaient pas pourquoi leur serveur n'avait pas tous les ports ouverts. Sur RunAbove, nous avions par défault tout fermé, sauf quelques ports comme web et smtp.
A ne jamais oublié : un firewall software sur tes systèmes est toujours à prévoir, ça évite toute dépendance au regard d'une éventuelle maintenance OVH sur le firewall ;).
-- Meddy
Bonjour Meddy,
Si je comprends bien, par défaut tout est ouvert jusqu’à ce que je le bloque.
Donc avec la règle suivante seule ne sert à rien?
Priorité Action Protocole IP source Port source Port destination Options État
0 Autoriser TCP mon@IP/32 22 Activé
En effet, une règle d'ouverture sur un pare-feu dont la politique par défaut est ouverte ne changera rien.
Crée une règle en 19 pour fermer IPv4 et ta politique par défaut sera à "bloquer" :).
Bonjour,
Il s'agit du même fonctionnement que le Firewall pour les IP sur les serveurs OVH.
C'est en effet toujours le "Firewall Network".
Par défaut l'activer ne mets pas en place de règles, c'est à toi de le faire. Il faut donc que tu autorises dans un premier temps tout ce dont tu as besoin, puis ensuite tu pourras faire un deny all sur l'IPv4 par exemple.
C'est bien cela ;)
Cordialement, Alexandre R.
Une fois que l'on sait que tout est ouvert pas de problème.
Par contre, est-ce qu'il y a une politique différente pour les serveurs hébergés chez OVH?
Voila la conf que j'ai mis en place:
Priorité Action Protocole IP source Port source Port destination Options État
0 Autoriser TCP mon IP Publlique/32 22 Activé
19 Refuser IPv4 tous Activé
Depuis l'extérieur, je ne peux pinguer mon serveur et lui ne peut pinguer l'extérieur (normal).
Par contre pourquoi mon serveur derrière le FW peut pinguer ou être pingué par une VM d'un serveur dédié ou une autre instance public cloud? Je peux même me connecter en SSH depuis ces serveurs?
Je précise que ces serveurs ne sont pas dans un vRack.
C'est une exception du Firewall Network.
Les règles de ce dernier ne sont prises en compte qu'en dehors du réseau OVH.
Toute IP OVH n'est pas donc pas soumise aux règles indiquées sur le manager.
Cordialement, Alexandre R.