Bonjour,
j'ai appelé plusieurs fois le service client et je ne suis pas satisfait de la réponse. Je viens donc ici pour avoir plus de précision sur mon problème.
je possède une instance public cloud (CentOS 7.6) avec plusieurs IPFO
sur l'IP public je n'ai laissé que l'accès à mon ssh avec iptables
sur mes IPFO (eth0:1, eth0:2...) j'ai du nginx qui tourne et j'ai ouvert 80+443 avec iptables.
Seulement voila, ça me sors site web indisponible... On m'a assuré que iptables pouvait être configuré par IPFO.
J'ai donc rajouté les règles HTTP et HTTPS sur mon ip public et mes sites étaient de nouveaux disponibles. Du coup, comme une IPFO est une sorte de pont rattaché à une IP public, je me demande si c'est possible.
est-ce que quelqu'un peut m'éclairer? Je ne suis pas non plus un expert dans les firewall :D
Merci
voici mes règles
# Tout accepter
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
# Remettre les compteurs à zéro
iptables -t filter -Z
# Supprimer toutes les règles actives et les chaînes personnalisées
iptables -t filter -F
iptables -t filter -X
# Politique par défaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
# Faire confiance à nous-mêmes ;o)
iptables -t filter -A INPUT -i lo -j ACCEPT
# Ping
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
# Connexions établies
iptables -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT
# eth0
#
# illimité
iptables -t filter -A INPUT -p tcp -s www.xxx.yyy.zzz -i eth0 -j ACCEPT
# SSH illimité
iptables -t filter -A INPUT -p tcp -s www.xxx.yyy.zzz -i eth0 --dport xx -j ACCEPT
iptables -t filter -A INPUT -p tcp -s www.xxx.yyy.zzz -i eth0 --dport xx -j ACCEPT
# SSH limité
iptables -t filter -A INPUT -p tcp -i eth0 --dport xx -m state --state NEW -m recent --set --name SSH
iptables -t filter -A INPUT -p tcp -i eth0 --dport xx -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name SSH -j DROP
iptables -t filter -A INPUT -p tcp -i eth0 --dport xx -j ACCEPT
# HTTP + HTTPS
iptables -t filter -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
# eth0:1
#
# HTTP + HTTPS
iptables -t filter -A INPUT -p tcp -i eth0:1 --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i eth0:1 --dport 443 -j ACCEPT
# eth0:2
#
# HTTP + HTTPS
iptables -t filter -A INPUT -p tcp -i eth0:2 --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp -i eth0:2 --dport 443 -j ACCEPT
# eth1
#
# local vRack
iptables -t filter -A INPUT -s www.xxx.yyy.zzz/24 -i eth1 -j ACCEPT
Public Cloud OVHcloud - IPFO et iptables
Related questions
- Dimensionnement serveur MySQL
47035 
07.11.2018 12:32
- [RESOLU] Connexion impossible en SSH
39527 05.06.2019 20:05
- Bonjour, Je n'est reçus aucun mot de passe root lors de mon achat!
34690 05.02.2018 20:47
- Gitlab private docker registry
34422 16.03.2018 13:05
- Ssh connection timed out port 22
33735 11.12.2019 08:21
- Configuration IP failover avec netplan (Ubuntu 17.10)
33271 12.01.2018 23:23
- Problème connexion ssh
32915 04.02.2018 09:46
- IP Failover sur Debian 9
32631 18.11.2016 20:40
- Instance Public Cloud en "error"
30424 15.12.2025 10:04
- Connexion OpenStack Swift Object Storage
26295 11.04.2019 10:09
Bonjour,
Iptables ne va pas comprendre les alias des interfaces comme eth0:1 ou eth0:2
Il faut simplement désigner eth0 et spécifier l'ip destination autoriser.
Tu dupliques les lignes par le nombre d'ip failover dont tu disposes.
Sinon pour augmenter la sécurité, tu peux aussi dans ton serveur web apache ou nginx spécifier l'ip d'écoute.
Attention cependant, si tu fais ca, c'est un vhost par ip.
Bon courage
https://www.captainadmin.com
Ok merci. J'avais déjà mis en place pour iptables sur eth0 mais je voulais avoir confirmation.
Par contre le vhost par ip... j'ai plusieurs domaines sur une ip et ça fonctionne parfaitement.