<![CDATA[Andesi - forum / (debian squeeze) Cloisonnement de services: LXC / OpenVZ ?]> 2011-05-10T08:33:33Z FluxBB http://forum.andesi.org/viewtopic.php?id=6743 <![CDATA[Réponse à : (debian squeeze) Cloisonnement de services: LXC / OpenVZ ?]> Salut,

Pour mes machines OpenVZ de test, je les configure sur le réseau 10.100.0.0/24 et ensuite je fais du NAT pour leur permettre de joindre le reste du réseau. Voici mon /etc/network/interfaces pour faire ça :

allow-hotplug eth0
iface eth0 inet dhcp
    post-up iptables -t nat -A POSTROUTING -s 10.100.0.0/24 -o eth0 -j SNAT --to `ifconfig eth0 | awk '/inet addr:/    { print    substr($2,6) }'`
    pre-down iptables -t nat -A POSTROUTING -s 10.100.0.0/24 -o eth0 -j SNAT --to `ifconfig eth0 | awk '/inet addr:/ { print substr($2,6) }'`

Le eth0 et le réseau des conteneurs sont à adapter bien sûr.

Sinon, un petit debut de howto chez moi (pas encore eu le temps d'aller au bout pour le mettre sur Andesi) http://wiki.orgrim.net/linux/debian-installer-openvz

]> http://forum.andesi.org/profile.php?id=1309 2011-05-10T08:33:33Z http://forum.andesi.org/viewtopic.php?pid=59684#p59684 <![CDATA[Réponse à : (debian squeeze) Cloisonnement de services: LXC / OpenVZ ?]> Bonsoir,

J'arrive peut être un peu tard, et je n'ai aucune expérience dans le domaine, mais mon président de LUG utilise couramment OpenVZ sur ses serveurs et il en est très content (dédiés chez OVH).

On est d'ailleurs en train de monter un serveur pour notre site internet incluant 3 VM : reverse-proxy / serveur web publique / serveur web privé.

Tu peux aussi regarder du côté de proxmox, surcouche pour la gestion des vm.

Usti

]> http://forum.andesi.org/profile.php?id=669 2011-05-06T19:23:50Z http://forum.andesi.org/viewtopic.php?pid=59678#p59678 <![CDATA[(debian squeeze) Cloisonnement de services: LXC / OpenVZ ?]> Bonjour,

Je dois installer une nouvelle machine, avec divers services (parefeu iptables,bind,proftp,LAMP,samba,ssh), et histoire de bien démarrer, je souhaiterais cloisonner chaque service afin d'augmenter (un peu) la sécurité du système.

D'abord, un petit schéma de la configuration:

[internet]-----[box]---[le serveur]---[switch]--/ plusieurs pc /

Je n'ai qu'une seule ip publique, classiquement "masqueradée" sur le serveur avec iptables.

J'ai commencé à lire quelques infos sur OpenVZ (solution de virtualisation), c'est peut-être un peu "excessif" pour ce que je veut faire, mais pourquoi pas, d'autant que des templates existent pour la dernière debian.

Si j'ai bien compris le principe, pour ce qui est du réseau en particulier, chaque VE a une ip (192.168.x.y par exemple) et accède à l'extérieur via du NAT (dans les 2 sens d'ailleurs, le port 53 serait à rediriger sur la VE de bind par exemple).

Si je schématise (j'aime bien les schéma ;-)), cela donnerait quelque chose comme ça:



[VE Bind] [VE Apache/Php/Mysql] [VE Parefeu/iptables] [VE ssh] [VE Proftpd] [VE Samba]
                                              [Kernel OpenVZ]


Avez-vous des retours d'expérience à partager sur ce sujet? des conseils?

Merci d'avance de vos avis,

]> http://forum.andesi.org/profile.php?id=2633 2011-03-17T08:10:58Z http://forum.andesi.org/viewtopic.php?pid=59647#p59647