Iptables pour ovh monitoring

Bare Metal and VPS
1

Bonjour,
Est ce que vous avez les commandes iptables pour activer le monitoring de OVH?
Je crois que ce sont ces IPs.
https://docs.ovh.com/fr/dedicated/monitoring-ip-ovh/
Merci

2

Bonjour,

> iptables -t filter -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT

> iptables -t filter -A INPUT --source 92.222.184.0/24 -j ACCEPT
> iptables -t filter -A OUTPUT --destination 92.222.184.0/24 -j ACCEPT

> iptables -t filter -A INPUT --source 92.222.185.0/24 -j ACCEPT
> iptables -t filter -A OUTPUT --destination 92.222.185.0/24 -j ACCEPT

> iptables -t filter -A INPUT --source 92.222.186.0/24 -j ACCEPT
> iptables -t filter -A OUTPUT --destination 92.222.186.0/24 -j ACCEPT

> iptables -t filter -A INPUT --source 167.114.37.0/24 -j ACCEPT
> iptables -t filter -A OUTPUT --destination 167.114.37.0/24 -j ACCEPT

> iptables -t filter -A INPUT --source 151.80.231.244 -j ACCEPT
> iptables -t filter -A OUTPUT --destination 151.80.231.244 -j ACCEPT

> iptables -t filter -A INPUT --source 151.80.231.245 -j ACCEPT
> iptables -t filter -A OUTPUT --destination 151.80.231.245 -j ACCEPT

> iptables -t filter -A INPUT --source 151.80.231.246 -j ACCEPT
> iptables -t filter -A OUTPUT --destination 151.80.231.246 -j ACCEPT

3

Merci beaucoup, mais je ne vois rien de ping.ovh.net addresse IP 213.186.33.13

C'est l'addresse qui me donnait le problème…

4

De mémoire, le serveur doit répondre aux ping pour que le monitoring fonctionne.

5

Bonjour TTY,

C'est intéressant comme règles. Pourquoi est ce que tu n'autorises pas directement le trafic sortant ?
et dans l'autre sens pourquoi tu autorises les serveurs OVH sur les les ports et tous les protocoles ?
Il me semblait qu'il suffisait d'ouvrir ICMP

cdt
Jean-Luc

6

Bonjour,


Pourquoi est ce que tu n'autorises pas directement le trafic sortant ?


Comprend pas, tous le trafic ? Pas une bonne pratique je pense.


et dans l'autre sens pourquoi tu autorises les serveurs OVH sur les les ports et tous les protocoles ?
Il me semblait qu'il suffisait d'ouvrir ICMP


Pour les remontées d'informations de RTM sur l'état de la RAM CPU HDD etc (même si cela fonctionne pas toujours sans raisons apparentes).

7

Autoriser ton serveur à sortir si c'est à son initiative, ça ne m'a pas l'air dangereux.
Le moindre téléchargement d'appli par wget va t'obliger à ajouter une règle .
Pour le monitoring, j'ai stoppé ovh et je suis parti sur prometheus+grafana

8

> Autoriser ton serveur à sortir si c'est à son initiative

Si tu te prend un logiciel malveillant qui veux sortir, le serveur sortira à son initiative mais pas à la tienne :slight_smile:

> Le moindre téléchargement d'appli par wget va t'obliger à ajouter une règle .

Non. Les applis sont download via le package manager.
Si exceptions, les port 80 et 443 sont ouvert en sortie.

D'une manière générale, la bonne pratique avec les firewall est de fonctionner en liste blanche -> bloquer tout, ouvrir selon les besoins. Cela pour diminuer la surface d'attaque le plus possible.
Laisser tout le trafic sortant sur une machine de prod connecté à Internet, c'est prendre le gros risque de payer une tournée aux collègues :smiley: (quand ils s'en apercevront)

9

One point, je vais ouvrir que http