Andesi - forum

Forum francophone pour Debian

Vous n'êtes pas identifié(e).

Pages : 1

#1 17/03/2011 10:10:58

philippe_g
Membre
Inscription : 27/04/2007
Messages : 13

(debian squeeze) Cloisonnement de services: LXC / OpenVZ ?

Bonjour,

Je dois installer une nouvelle machine, avec divers services (parefeu iptables,bind,proftp,LAMP,samba,ssh), et histoire de bien démarrer, je souhaiterais cloisonner chaque service afin d'augmenter (un peu) la sécurité du système.

D'abord, un petit schéma de la configuration:

[internet]-----[box]---[le serveur]---[switch]--/ plusieurs pc /

Je n'ai qu'une seule ip publique, classiquement "masqueradée" sur le serveur avec iptables.

J'ai commencé à lire quelques infos sur OpenVZ (solution de virtualisation), c'est peut-être un peu "excessif" pour ce que je veut faire, mais pourquoi pas, d'autant que des templates existent pour la dernière debian.

Si j'ai bien compris le principe, pour ce qui est du réseau en particulier, chaque VE a une ip (192.168.x.y par exemple) et accède à l'extérieur via du NAT (dans les 2 sens d'ailleurs, le port 53 serait à rediriger sur la VE de bind par exemple).

Si je schématise (j'aime bien les schéma ;-)), cela donnerait quelque chose comme ça:



[VE Bind] [VE Apache/Php/Mysql] [VE Parefeu/iptables] [VE ssh] [VE Proftpd] [VE Samba]
                                              [Kernel OpenVZ]


Avez-vous des retours d'expérience à partager sur ce sujet? des conseils?

Merci d'avance de vos avis,

Hors ligne

#2 06/05/2011 21:23:50

ustilago
Membre
Lieu : Charente-Maritime
Inscription : 14/08/2004
Messages : 1 540
Site Web

Re : (debian squeeze) Cloisonnement de services: LXC / OpenVZ ?

Bonsoir,

J'arrive peut être un peu tard, et je n'ai aucune expérience dans le domaine, mais mon président de LUG utilise couramment OpenVZ sur ses serveurs et il en est très content (dédiés chez OVH).

On est d'ailleurs en train de monter un serveur pour notre site internet incluant 3 VM : reverse-proxy / serveur web publique / serveur web privé.

Tu peux aussi regarder du côté de proxmox, surcouche pour la gestion des vm.

Usti

Faut pas énerver un tigre ...

Hors ligne

#3 10/05/2011 10:33:33

orgrim
Administrator
Lieu : Palaiseau
Inscription : 03/09/2005
Messages : 373
Site Web

Re : (debian squeeze) Cloisonnement de services: LXC / OpenVZ ?

Salut,

Pour mes machines OpenVZ de test, je les configure sur le réseau 10.100.0.0/24 et ensuite je fais du NAT pour leur permettre de joindre le reste du réseau. Voici mon /etc/network/interfaces pour faire ça :

allow-hotplug eth0
iface eth0 inet dhcp
    post-up iptables -t nat -A POSTROUTING -s 10.100.0.0/24 -o eth0 -j SNAT --to `ifconfig eth0 | awk '/inet addr:/    { print    substr($2,6) }'`
    pre-down iptables -t nat -A POSTROUTING -s 10.100.0.0/24 -o eth0 -j SNAT --to `ifconfig eth0 | awk '/inet addr:/ { print substr($2,6) }'`

Le eth0 et le réseau des conteneurs sont à adapter bien sûr.

Sinon, un petit debut de howto chez moi (pas encore eu le temps d'aller au bout pour le mettre sur Andesi) http://wiki.orgrim.net/linux/debian-installer-openvz

"First they ignore you, then they ridicule you, then they fight you, then you win."
  --  Mahatma Gandhi

Hors ligne

Pages : 1

Pied de page des forums

Propulsé par FluxBB