Bonjour,
j'ai appelé plusieurs fois le service client et je ne suis pas satisfait de la réponse. Je viens donc ici pour avoir plus de précision sur mon problème.
je possède une instance public cloud (CentOS 7.6) avec plusieurs IPFO
sur l'IP public je n'ai laissé que l'accès à mon ssh avec iptables
sur mes IPFO (eth0:1, eth0:2...) j'ai du nginx qui tourne et j'ai ouvert 80+443 avec iptables.
Seulement voila, ça me sors site web indisponible... On m'a assuré que iptables pouvait être configuré par IPFO.
J'ai donc rajouté les règles HTTP et HTTPS sur mon ip public et mes sites étaient de nouveaux disponibles. Du coup, comme une IPFO est une sorte de pont rattaché à une IP public, je me demande si c'est possible.
est-ce que quelqu'un peut m'éclairer? Je ne suis pas non plus un expert dans les firewall :D
Merci
voici mes règles
# Tout accepter
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
# Remettre les compteurs à zéro
iptables -t filter -Z
# Supprimer toutes les règles actives et les chaînes personnalisées
iptables -t filter -F
iptables -t filter -X
# Politique par défaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
# Faire confiance à nous-mêmes ;o)
iptables -t filter -A INPUT -i lo -j ACCEPT
# Ping
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
# Connexions établies
iptables -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT
# eth0
#
# illimité
iptables -t filter -A INPUT -p tcp -s www.xxx.yyy.zzz -i eth0 -j ACCEPT
# SSH illimité
iptables -t filter -A INPUT -p tcp -s www.xxx.yyy.zzz -i eth0 --dport xx -j ACCEPT
iptables -t filter -A INPUT -p tcp -s www.xxx.yyy.zzz -i eth0 --dport xx -j ACCEPT
# SSH limité
iptables -t filter -A INPUT -p tcp -i eth0 --dport xx -m state --state NEW -m recent --set --name SSH
iptables -t filter -A INPUT -p tcp -i eth0 --dport xx -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH -j DROP
iptables -t filter -A INPUT -p tcp -i eth0 --dport xx -j ACCEPT
# HTTP + HTTPS
iptables -t filter -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
# eth0:1
#
# HTTP + HTTPS
iptables -t filter -A INPUT -p tcp -i eth0:1 --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i eth0:1 --dport 443 -j ACCEPT
# eth0:2
#
# HTTP + HTTPS
iptables -t filter -A INPUT -p tcp -i eth0:2 --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i eth0:2 --dport 443 -j ACCEPT
# eth1
#
# local vRack
iptables -t filter -A INPUT -s www.xxx.yyy.zzz/24 -i eth1 -j ACCEPT
Public Cloud OVHcloud - IPFO et iptables
Related questions
- Dimensionnement serveur MySQL
31485 
07.11.2018 12:32
- [RESOLU] Connexion impossible en SSH
26841 05.06.2019 20:05
- Bonjour, Je n'est reçus aucun mot de passe root lors de mon achat!
22515 05.02.2018 20:47
- Gitlab private docker registry
22308 16.03.2018 13:05
- Configuration IP failover avec netplan (Ubuntu 17.10)
20660 12.01.2018 23:23
- Ssh connection timed out port 22
19191 11.12.2019 08:21
- IP Failover sur Debian 9
19077 18.11.2016 20:40
- Problème connexion ssh
18234 04.02.2018 09:46
- Connexion OpenStack Swift Object Storage
15220 11.04.2019 10:09
- Désactivation de mon site pour Phishing
14837 12.05.2021 08:36
Bonjour,
Iptables ne va pas comprendre les alias des interfaces comme eth0:1 ou eth0:2
Il faut simplement désigner eth0 et spécifier l'ip destination autoriser.
Tu dupliques les lignes par le nombre d'ip failover dont tu disposes.
Sinon pour augmenter la sécurité, tu peux aussi dans ton serveur web apache ou nginx spécifier l'ip d'écoute.
Attention cependant, si tu fais ca, c'est un vhost par ip.
Bon courage
https://www.captainadmin.com
Ok merci. J'avais déjà mis en place pour iptables sur eth0 mais je voulais avoir confirmation.
Par contre le vhost par ip... j'ai plusieurs domaines sur une ip et ça fonctionne parfaitement.