Problème de ping vers Internet

Hello,
Tu veux dire que tu ne ping que les IP d'OVH et aucune autre ?

On va dire que c'est ça. Je précise que ça marchait avant mais je viens juste d'observer le souci donc je ne sais pas quand il s'est manifesté.

Un des serveurs concerné : https://www.smartphonefrance.info/ (Site accessible en IPv4 et IPv6). Pas la peine d'essayer de le pinguer, c'est filtré volontairement mais le fait qu'il soit accessible en IPv4 prouve que sa connectivité réseau est bonne.

Problème dans les règles de firewall externe !
Je n'avais jamais observé ça alors je vais regarder ce qui pose problème.

**Pour les autres, si un tel problème vous arrive, pensez à regarder si un firewall externe associé à vos IPs n'est pas activé. On va dire problème réglé car j'ai trouvé la cause. Reste juste à trouver la solution :)**

firewall externe

Le firewall qui est configurable depuis le manager OVH ?

Le firewall qui est configurable depuis le manager OVH ?

Oui. Ce qu'il faut surtout retenir c'est que ce firewall ne protège pas réellement l'IP concernée car les accès via certaines IP OVH outrepassent cette configuration. Mieux que rien mais ne surtout pas faire une confiance aveugle en de firewall qui ne protège pas des autres clients OVH !

Comme je suis parano je l'avais configuré "en plus" de la configuration du serveur mais ce qui m'a perturbé c'est que certaines IPs passaient alors que d'autres non. Problème réglé maintenant.

les accès via certaines IP OVH outrepassent cette configuration.

Bonjour,

Le firewall est au périmètre de OVH, c'est-à-dire qu'il ne te protège nullement si un autre client OVH tente de rentrer par effraction.

Je savais pas, interressant !

Le firewall est au périmètre de OVH, c'est-à-dire qu'il ne te protège nullement si un autre client OVH tente de rentrer par effraction.

Si c'était clairement indiqué sur la page de configuration du firewall ça éviterait les malentendus. Au final on a un parefeu incomplet qui ne protège pas réellement. Ne pas oublier par exemple que de nombreux services de VPN ont des serveurs OVH. Bref ce firewall dans sa configuration actuelle est un parapluie ... avec des trous.

C'est une protection de +, fournie gratuitement.
Perso j'ai pu remarquer un avantage réel qd on a des serveurs avec des dizaines d'IPFO...
Chaque IP se faisant scanner à longueur de journée, qd on en a autant ça commence malgré tout à occuper un peu le serveur de bloquer tout ça...
Par conséquent le fait d'activer le parefeu OVH sur toutes les IPs du serveur ça permet tt de même d'effectuer un premier filtrage pour tout ce qui arrive sur le serveur.
Autre config où je n'ouvre le port SSH ou wireguard que sur l'IP de base du serveur, pas sur les IPFO, ça limite un peu + l'exposition de ces services...

Après sur le point que ça ne protège que de l'extérieur, c'est précisé dans le doc :
[quote]Le Network Firewall n’est pas pris en compte au sein du réseau OVHcloud. Par conséquent, les règles configurées n’affectent pas les connexions de ce réseau interne. [/quote]

Donc perso je suis content que ce service existe, je l'active systématiquement, mais ce n'est pas pour autant que je n'active pas de parefeu directement sur le serveur également.

C'est une protection de +, fournie gratuitement.

Ah bon ce n'est pas inclus dans le tarif ? Je trouve que le fait que ça ne soit pas marqué clairement dans la page de configuration est problématique. S'il faut éplucher toutes les documentations pour se rendre compte que les services proposés sont incomplets, on n'a pas fini.

Pour rappel OVH s'adresse principalement à des professionnels de l'informatique qui souvent revendent les services qu'ils souscrivent à leurs clients. Je trouve vraiment regrettable que la situation du parefeu incomplet ne soit pas clairement signalée sur la page de configuration de ce dernier. Et puis c'est quoi le réseau OVHcloud ? Tu les connais tous les réseaux IPv4 concernés ?

En tant que tel ce parefeu n'est pas un service sur lequel on peu compter. Autant ne pas le proposer dans ce cas. Personnellement je ne comptais pas sur lui mais est-ce le cas de tous les clients ? Si à un client on lui propose un parefeu ayant une règle filtrant tout le trafic, il est est logique qu'il s'attente à ce que ça filtre tout le trafic. Hors ce n'est pas le cas. Pourquoi ne pas juste le signaler CLAIREMENT sur la page du service concerné ? Trop compliqué ? Pas assez vendeur ?

La base ça reste de lire la doc....
Et dans la doc c'est écrit...

Alors pourquoi pas demander aux services OVH d'ajouter en rouge que le parefeu n'agit qu'à l'entrée du rzo ovh, mais encore une fois, c'est bien précisé dans la doc... Qu'on est censé avoir lu au moins 1x qd on mets en place le service...

Et encore une fois, ce n'est pas un "parefeu incomplet", c'est une solution de préfiltrage à l'entrée du rzo OVH... Pour ça que ça s'appelle le "firewall network"....

Le problème étant que vous avez mal interprété la nature du service du fait que vous n'avez pas lu la doc correspondante.

Merci pour ces éclaircissements. Si c'est un "Network Firewall" j'avais vraiment pas compris.
C'est la première fois de ma vie, longue tout de même avec plus de 30 ans comme Administrateur Systèmes et réseaux, que je me retrouve face à face un "Network Firewall". Quelle horrible erreur de ma part !

**Enfin ma conclusion reste la même car sur la page de configuration des règles à aucun moment il n'est signalé que c'est un firewall incomplet qui ne filtre pas les IP publiques distribuées par OVH. C'est pour moi un réel défaut d'information qui crée certainement des problèmes de sécurité à ceux qui feraient confiance à ce parefeu incomplet et dont les règles réelles ne correspondent pas à ce que l'utilisateur a configuré.**

Pour le reste rassurez vous, le débutant que je suis a laissé par erreur le parefeu de ses serveurs Linux et Windows configurés. Quelle chance j'ai sur ce coup.

Pour les autres lecteurs, restez méfiants car malgré les conseils d'experts de certains les parefeu proposés par OVH pour certains types de serveurs ne filtrent pas tout ce qu'ils seraient censé faire à la lecture des règles mises en place. Des milliers de serveurs ont un passe droit sur ce parefeu, quelque soit les règles mises en place. Mon conseil était juste qu'OVH le signale clairement sur la page de configuration mais ce conseil ne semble pas judicieux car il n'y a que les idiots qui ne lisent pas des documentations, elles même compliquées à trouver (Bah oui en cherchant bien pas de lien sur la page de configuration).

Désolé d'avoir été idiot car c'est vrai que la base est de lire la doc ... enfin quand on sait qu'elle existe !

Faut se détendre et ne pas tt prendre de haut comme ça....
Et pour la doc si difficile à trouver... Je ne sais pas, je tape "doc firewall ovh" sur presearch et c'est le premier lien qui ressort... ça m'a au moins demandé 30s pour chercher la doc bouh...

Et au passage, vous pouvez avoir 30 ans de boutique, ne pas lire une doc, et ne pas comprendre exactement ce que vous êtes entrain de configurer... J'ai 20 ans de métier, il m'arrive de faire de la merde et je suis régulièrement plongé dans les docs pour apprendre tout un tas de nouveau trucs tous les jours...

Donc on se détend, vous ne saviez pas que ce parefeu n'était qu'en entrée de rzo, avec votre expérience vous vous êtes dit que lire une doc ça ne sert qu'aux noobs, ça arrive à d'autres...

De + vu que ce parefeu est extrêmement limité en fonctionnalité on peut penser qu'il serait très imprudent de n'utiliser que ça...

@FabL : ça pourrait être utile de redonner les liens de la doc sur la page du parefeu IP, voir de mettre un avertissement pour ceux qui n'auraient pas prit la peine de se renseigner sur ce qu'ils sont entrain de configurer...

Je vais te répondre clairement : Va te faire foutre abruti méprisant qui me qualifie d'idiot car je n'aurais pas lu une documentation !

A la base je voulais juste soulever un petit problème qui éventuellement peut concerner d'autres ! Tu es la branche OVH du 87 ? Toi aussi redescend !!!

@FabL : Serait-il possible de supprimer ce fil car me faire publiquement traiter d'abruti inculte qui n'a pas lu les docs par un inconnu ce n'est pas pour ça que je me suis inscrit ici ! Merci d'avance :)

Faudrait consulter mon bon monsieur.
Ce n'est pas bon pour le coeur de s'énerver comme ça...

Faire une erreur ce n'est pas être un abruti, sauf si vous le prenez comme ça...
Lire une doc ce n'est pas pour les idiots, personne n'est omniscient...

Bonjour à tous,

Je complète en mentionnant les différents guides à votre disposition :

**Serveurs dédiés :**
https://docs.ovh.com/fr/dedicated/firewall-windows/#etape-1-acceder-au-pare-feu-windows
https://docs.ovh.com/fr/dedicated/firewall-iptables/#etape-2-installer-le-pare-feu-iptables-sous-ubuntu

----------


**Hosted Private Cloud VMware :**
https://docs.ovh.com/fr/private-cloud/configurer-le-nsx-edge-firewall/#regles-de-pare-feu

----------


^FabL