Je donne l’architecture: le serveur proxy et le routeur sont connectés à un switch (pour le moment je me contente d'une seule interface pour le serveur proxy )
le routeur 192.168.1.X
Eth0:0 192.168.1.X
|
Eth0 192.168.0.X
LAN 192.168.0.XXX
je voulais autoriser tout le trafic pour laisser passer outlook mais ça marche pas
règles appliquées:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 (proxy transparent)
j'ai aussi activer le ip_forward
Au niveau du client je
Passerelle: @proxy
DNS1: @dns_interne
DNS2: @dns_isp
Merci d'avance
]>@Orgrim, mieux vaut afficher sa version de ssh avec un serveur à jour que de la masquer et d'utiliser une version "passoire", nous sommes d'accord sur ce point.
]>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
D'après la page man de interfaces, tu peux placer tes scripts dans les répertoires "/etc/network/if-<option>.d/" et ils sont exécutés automatiquement, pas besoin de les répéter dans le fichier interfaces (ces deux lignes sont d'ailleurs commentées dans ton message). Ces derniers, étant exécutés sans options, ont accès à une flopée de variables d'environnement définies dans cette même page de man.
As-tu cherché dans ton dmesg ou syslog une trace d'erreur d'iptables ? tu pourrais aussi utiliser "logger" dans tes scripts afin de tracer dans syslog des informations utiles à propos du déroulement de ton script...
Ceci dit, pour ma culture personnelle, si la solution te revient, ça m'intéresse aussi
]>LeDub en avance de 23h00:11 sur Armen
C'est ce que j'ai vu, mais comme "Firewall/Gateway Sécurité" est avant "Divers", je ne l'ai vu qu'après avoir répondu et j'ai eu la flemme d'aller supprimer mon message.
A part ça, Andébière la semaine de l'automne ? (Faut réactiver le fameux fil Andébière) Comme ça, je pourrai expliquer à Ledub les histoires balises dans les messages.
Armen qui prévoit une semaine cool quand son chef sera pas là.
]>Si ton soucis concerne seulement la bp, mets en place du traffic shaping pour limiter.
]>Debian est (et restera) une distribution libre [2].
Revoir les bases :-)
[1] http://www.fr.debian.org/social_contract#guidelines
[2] http://www.fr.debian.org/social_contract
J'ai fait un tas de test mais la je seche
Je recapitule je veux installer un deuxieme serveur PXE sur mon reseau IP
mais je veux le dedier au test et pour cela je configure une station BRIDGE ET FIREWALL en interdisant uniquement le port PXE 4011
et je laisse passer tout le reste.
ETH0 cote serveur de production
ETH1 cote serveur de test
Je vous donne ma configuration :
interfaces :
auto lo
iface lo inet loopback
pre-up /etc/network/if-pre-up.d/iptables-start
post-down /etc/network/if-post-down.d/iptables-stop
# The primary network interface
allow-hotplug br0 eth0 eth1
#iface eth0 inet manual
#iface eth1 inet manual
auto br0
iface br0 inet dhcp
bridge_ports eth0 eth1
bridge_stp off
# bridge_fd 2
bridge_maxwait 0
DHCLIENT_WAIT_AT_BOOT 15
sysctl.conf
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See sysctl.conf (5) for information.
#
#kernel.domainname = example.com
#net/ipv4/icmp_echo_ignore_broadcasts=1
# Uncomment the following to stop low-level messages on console
#kernel.printk = 4 4 1 7
##############################################################3
# Functions previously found in netbase
#
# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1
# Uncomment the next line to enable TCP/IP SYN cookies
#net.ipv4.tcp_syncookies=1
# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1
# Uncomment the next line to enable packet forwarding for IPv6
#net.ipv6.ip_forward=1
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Ignore ICMP broadcasts
#net/ipv4/icmp_echo_ignore_broadcasts = 1
#
# Ignore bogus ICMP errors
#net/ipv4/icmp_ignore_bogus_error_responses = 1
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net/ipv4/conf/all/accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net/ipv4/conf/all/secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net/ipv4/conf/all/send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net/ipv4/conf/all/accept_source_route = 0
#
# Enable TCP Syn Cookies
#net/ipv4/tcp_syncookies = 1
#
# Log Martian Packets
#net/ipv4/conf/all/log_martians = 1
#
# Always defragment packets
#net/ipv4/ip_always_defrag = 1
# Uncomment the next line to enable packet forwarding for IPv4
# net.ipv4.conf.default.forwarding=1
# Uncomment the next line to enable packet forwarding for IPv6
# net.ipv6.conf.default.forwarding=1
net.ipv4.ip_forward=1
ifconfig
br0 Link encap:Ethernet HWaddr 00:06:29:a9:54:27
inet adr:192.168.1.38 Bcast:10.52.255.255 Masque:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:281 errors:0 dropped:0 overruns:0 frame:0
TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:15922 (15.5 KiB) TX bytes:1710 (1.6 KiB)
eth0 Link encap:Ethernet HWaddr 00:06:29:a9:54:27
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:907 errors:0 dropped:0 overruns:0 frame:0
TX packets:188716 errors:7 dropped:0 overruns:0 carrier:7
collisions:0 lg file transmission:1000
RX bytes:222964 (217.7 KiB) TX bytes:12584667 (12.0 MiB)
eth1 Link encap:Ethernet HWaddr 00:40:ca:7b:54:6a
inet adr:192.168.1.38 Bcast:10.52.255.255 Masque:255.255.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:347 errors:0 dropped:0 overruns:0 frame:0
TX packets:15 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:28128 (27.4 KiB) TX bytes:2553 (2.4 KiB)
Interruption:20
lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:256 errors:0 dropped:0 overruns:0 frame:0
TX packets:256 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:88848 (86.7 KiB) TX bytes:88848 (86.7 KiB)
iptables-start
#!/bin/sh
# FILTRAGE DU PORT 4011 PXE
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par défaut"
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
# FIN des "politiques par défaut"
# DEBUT des règles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 4011 -m state --state NEW -j DROP
iptables -A OUTPUT -o eth1 -p tcp --sport 4011 --dport 1024:65535 -m state --state NEW -j DROP
# FIN des règles"
Voila si quelqu'un peut m'aider.
A+
]>Je vais bientôt installer mon tout premier serveur de production mais je me demande si ça vaut la peine de chrooter des services comme apache ou bind car il semblerait qu'un chroot soit facile à casser.
J'ai déjà fait mumuse avec vserver mais je ne me sens pas assez à l'aise pour mettre du vserver en prod.
Alors je chroot ou je chroot pas ?
Merci d'avance.
]>1. L'extension --dport 80 n'est pas reconnue ("unknown arg").
Quel est le protocole utilisé par ce serveur ? (si on précise, -p tcp, l'extension est acceptée).
Effectivement, on ne peut avoir un --dport qu'avec un -p protocole avant (Normal, tout les protocoles acceptés n'ont pas forcément de notion de port)
2. L'adresse alphabétique est introuvable ("host/network not found").
La commande ping m'a indiqué l'adresse numérique, 212.211.132.32, ce qui permet de faire accepter la règle. Mais si je tape l'adresse http://212.211.132.32 dans le navigateur, j'arrive sur une page de renvoi : " Vous voyez cette page parce que l'administrateur du site a modifié la configuration de ce serveur Web. "
--> Peut-on faire des mises à jour à cette adresse IP ?
Là, il vaux mieux tester avec apt(itude) si tu peux bien mettre des paquets à jour, c'est le but de la règle. Par exemple apt-get update, pour récupérer la liste. Tu as au moins vu avec ton navigateur que la regle fonctionne bien.
]>mais dit moi, quand un master tombe, personne ne s'en inquiette ?
Je veux dire, vos réplications et autre load-balancing justifient-ils de ne pas réagir en qques heures à la panne d'un des serveurs ?
Si, mais ca ne provoque aucune interruption de service. Tu peux donc continuer a boire avec tes amis en attendant qu'un UP remonte sur ton blackberry. Quand je te dis que MySQL c'est l'ami des admins alcooliques !
]>Dans ton cas, tout va bien
]>