fanto30 a écrit 159 commentaires

Alors tu n'auras pas de réponses sur tout, comme je disais, c'est un pote admin réseaux qui en a écrit une partie, et je ne me rappelle plus forcement des explication sur le moment.

En même temps, en 1 an je n'y ai pas touché …

Donc :

if [ -x /usr/bin/logger ]; then
logger -p info "Activating firewall script"
fi

Ca c'est juste pour mettre une entrée dans syslog quand le script est lancé.
C'est un peu du debug, tu peux l'enlever.

modprobe ip_conntrack || exit 1
modprobe ip_conntrack_ftp || exit 1
modprobe ip_nat_ftp || exit 1

Ca c'est pour activer le suivi de connexion en FTP, pour faire du FTP "actif".
Je m'en servais avant mais plus maintenant.
Donc si tu n'installe pas de serveur FTP, tu peux enlever aussi.

iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT

Ca crée le comportement par défaut des règles OUTPUT, INPUT, FORWARD.
Mais ca me semble surprenant que ca soit ACCEPT par défaut …

cat /proc/net/ip_tables_names | while read table; do
iptables -t $table -L -n | while read c chain rest; do
if test "X$c" = "XChain" ; then
iptables -t $table -F $chain
fi
done
iptables -t $table -X
done

Ca pour être franc, c'est mon pote qui l'a mis, il m'avait expliqué à l'époque, mais il semblerait que j'ai oublié.
Je dirais que ca parcoure des régles pour en faire quelque chose.

echo 1 > /proc/sys/net/ipv4/ip_forward

Ca c'est pour activer le NAT (1 IP publique => des IP privées).
C'est le plus important pour toi, et de mémoire, ce qu'on ne peut pas faire dans l'interface de PROXMOX.

ip addr flush dev vmbr0 scope

Ca c'est pour configurer le bridge réseau utilisé par PROXMOX (vmbr0).

Si des pros de iptables passent dans le coin pour de plus amples explications, je les en remercierais aussi beaucoup :-).

Je vois que tu y étais presque sur CCM :-p

Donc en copiant/collant ton message d'erreur dans la barre de recherche de google, j'ai trouvé ca sur CCM en 2eme lien, qui ressemble furieusement à ton problème …

De rien ;-)

Bah de rien, c'est vrai que ca peut être un poil compliqué au départ, surtout sur une seule adresse IP.
Avant j'utilisais un script qui venait de chez Fridu, qui mangeait des fichiers de config.
Quand je suis passé à Proxmox 4 et surtout LXC, je me suis replongé dans les règles iptables … et aussi très aidé par un pote admin réseaux :-).

Sinon j'ai un kimsufi aussi et mon proxmox est en version 4.3.10, la dernière je pense.

Par contre, tu vas avoir des modifications à faire dans le script que je te fournis, ca ne marche pas tout seul comme ca "hors la boite" ;-).

Voilà un petit script bash que j'utilise pour configurer iptable sur mon kimsufi avec proxmox, avec
- du NAT
- quelques redirections de services depuis l'extérieur
- du suivi de connexions FTP
- mes containers LXC sont en 10.10.101.0/24
- 1 container web (apache)
- 1 container DB (MySQL)
- 1 container avec gitlab
- NGINX en proxy sur l'hyperviseur

Si ca peut te servir …

#!/bin/sh -x

if [ -x /usr/bin/logger ]; then
  logger -p info "Activating firewall script"
fi
modprobe ip_conntrack || exit 1
modprobe ip_conntrack_ftp || exit 1
modprobe ip_nat_ftp || exit 1

iptables -P OUTPUT  ACCEPT
iptables -P INPUT  ACCEPT
iptables -P FORWARD ACCEPT

cat /proc/net/ip_tables_names | while read table; do
  iptables -t $table -L -n | while read c chain rest; do
      if test "X$c" = "XChain" ; then
        iptables -t $table -F $chain
      fi
  done
  iptables -t $table -X
done

echo 1 > /proc/sys/net/ipv4/ip_forward

ip addr flush dev vmbr0 scope link

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#
# NAT pour les VM
#
iptables -t nat -A POSTROUTING -o vmbr0 -s 10.10.101.0/24 ! -d 10.10.101.0/24 -j SNAT --to [IP PUBLIQUE]

#
# PAT pour les VM
#
iptables -t nat -A PREROUTING -i vmbr0 -p tcp -s 0/0 -d [IP PUBLIQUE] --destination-port 4022 -j DNAT --to 10.10.101.40:22
iptables -t nat -A PREROUTING -i vmbr0 -p tcp -s 0/0 -d [IP PUBLIQUE] --destination-port 3022 -j DNAT --to 10.10.101.30:22
iptables -t nat -A PREROUTING -i vmbr0 -p tcp -s 0/0 -d [IP PUBLIQUE] --destination-port 3306 -j DNAT --to 10.10.101.30:3306
iptables -t nat -A PREROUTING -i vmbr0 -p tcp -s 0/0 -d [IP PUBLIQUE] --destination-port 2022 -j DNAT --to 10.10.101.20:22
iptables -t nat -A PREROUTING -i vmbr0 -p tcp -s 0/0 -d [IP PUBLIQUE] --destination-port 2080 -j DNAT --to 10.10.101.20:80

#
#    FW > NET
#
iptables -A OUTPUT -m state --state NEW -j ACCEPT

#
#    VM > NET
#
iptables -A FORWARD -i vmbr0 -o vmbr0 -s 10.10.101.0/24 -d 0/0 -m state --state NEW -j ACCEPT

#
#    NET > FW
#
iptables -A INPUT -i vmbr0 -p icmp --icmp-type echo-request -m state --state NEW -j ACCEPT
iptables -A INPUT -i vmbr0 -p tcp -s 0/0 -m state --state NEW -m multiport --destination-port 22 -j ACCEPT
iptables -A INPUT -i vmbr0 -p tcp -s 0/0 -m state --state NEW -m multiport --destination-port 80 -j ACCEPT
iptables -A INPUT -i vmbr0 -p tcp -s 0/0 -m state --state NEW -m multiport --destination-port 8006 -j ACCEPT

#
#    NET > VM
#
iptables -A FORWARD -i vmbr0 -p tcp -s 0/0 -d 10.10.101.20/32 -m state --state NEW -m multiport --destination-port 22,80 -j ACCEPT
iptables -A FORWARD -i vmbr0 -p tcp -s 0/0 -d 10.10.101.30/32 -m state --state NEW -m multiport --destination-port 22,3306 -j ACCEPT
iptables -A FORWARD -i vmbr0 -p tcp -s 0/0 -d 10.10.101.40/32 -m state --state NEW -m multiport --destination-port 22,80 -j ACCEPT

#
#    LOCALHOST > LOCALHOST
#
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#
#    LOGS (DEBUG ONLY)
#
# iptables -A INPUT -j LOG
# iptables -A FORWARD -j LOG
# iptables -A OUTPUT -j LOG

#
#  Final rules
#
iptables -A INPUT      -j DROP
iptables -A OUTPUT     -j DROP
iptables -A FORWARD    -j DROP

iptables-save > /root/iptables.rules

J'ai depuis le mois de juin, un LDLC Aurore Si7F-8-S4 qui est en fait un CLEVO W655RZ, et dans l'ensemble j'en suis plutot content.

C'est clair que la qualité des plastiques ou même de la fabrication en général, n'est pas au niveau de ce que j'ai pu connaitre avant (surtout des HP gamme pro).
Mais pour un peu plus de 1000 zeuros j'ai du i7-6700, 16Go de RAM, du chipset Intel, une dalle mate IPS Full HD et 480 Go de SSD.
Plutot silencieux, le ventilo se déclenche peu, même en usage intensif.

Je tourne avec KDE Neon dessus et tout marche nickel.

Juste un truc, j'ai maintenant une Livebox 4 fibrée, et il n'y a que du WiFi bgn, j'aurais aimé avoir du ac aussi.
Je me demande si je ne pourrais pas changer l'adaptateur WiFi dedans pour passer en ac.
Si quelqu'un a une idée ou a déjà fait ce genre de mise à niveau …
Ou la ref d'un dongle USB WiFi ac bien reconnu par Linux (j'ai un netgear AC600 sur un autre portable et c'est pas tip-top …).

Ouala

En revanche, chez Hotmail, c'était toujours rejeté

Là bon courage si t'arrives faire accepter tes mails par Hotmail.

Je pense qu'ils blacklistent à peu près tout ce qui ne vient pas d'un FAI ou d'un gros fournisseur de mail.

Je ne suis jamais arrivé à faire accepter mes mails par Hotmail depuis un serveur dédié.

Merci Guy.

En fait on ne fait qu'envoyer des mails (des CRON qui tournent sur les containers), on en recoit pas (sur ces serveurs là tout du moins).

Mais on a un peu mieux configurer les MX et les reverses, en y ajoutant une dose de SPF.

On verra bien ce que ca donne.

Ah je me doutais que c'était quelque chose comme ça … mais j'ai plusieurs containers qui envoie des mails et comme tu as pu le voir le nom de domaine est tout ce qu'il y a de plus générique et n'est pas déployé sur un DNS.

Mais merci, on va creuser dans cette direction.

Pour ce qui est de l'anglais, je ne mentionne pas le TOEIC (que je n'ai pas) tout simplement parce que je ne l'ai jamais passé, mais j'ai (très) largement le niveau

Tu peux aller dans un institut de langue (genre Wall Street Institut) et pour 50€ à ~100€ tu peux repartir après une heure avec un test d'anglais en candidat libre.
Par exemple le TOEIC ou le BULATS.

Et que ce soit le TOEIC avec son gros chiffre qui ne veut pas dire grand chose AHMA, ou le BULATS et son niveau plus général, si le recruteur n'y connait rien en test de langue (et en anglais) ca ne va pas changer grand chose.

Ah si c'était aussi simple … mais :

offre Office 365 hébergée par MS (donc du "cloud")

Suis pas sûr que MS me laisse jouer aussi facilement avec son "nuage" :-).

Tu sais, on est pas toujours maître des solutions ou situations qu'on gère et il peut y avoir tout un tas de raisons annexes qui font qu'on choisisse une solution.

Et tu remarqueras que je suis venu poster une (pas la) solution à ma problématique ;-).

Désolé d'avoir une vie AFK ;-)

Donc tu as tout juste, c'est pour que certains (y'a pas que des cadres accros à leurs mails dans la vie) décrochent et surtout prennent un peu de recul avec leurs mails.

Et je suis comme toi, étonné et surpris de tester cette solution, mais on verra bien …

C'est clair il est trop fort ;-)

Merci pour le lien alors …

[ironie]
La prochaine fois garde celui de CCM sous la main :-)
[/ironie]

Je ne fais pas mon caliméro puisque j'assume d'entrée d'être "hors sujet" ah ben dis donc comme la rubrique où je poste.

Mais j'arrête là, je n'ai aucune envie de polémiquer troller sur le bien-fondé de ma question içi ou pas.

J'espère simplement que ma question (très présente sur le net) et ma réponse serviront …

Donc je continue à alimenter le forum avec des infos du diable (parce que je déteste les questions de forums où le gars dit juste "c'est bon j'ai trouvé grattez-vous avec la réponse"), mais une solution est :

• désactiver les différents accès extérieurs (POP, IMAP, ActiveSync, …) du serveur

Et pour Activer/Désactiver mais c'est du PowerShell alors soit on à une 'tite machine (ou VM) avec un Windows, soit dans Mono (donc moi ca va être du Mono).

Et je fais un bouble combo : un produit du diable et Mono, les intégristes vont m'écorcher vif en me faisant coder en Lisp pour expier (à la rigueur du Python si leur barbe n'a pas été taillée depuis plus de 10 ans :-p , ou utiliser Emacs si je les laisse couper leurs ongles de doigts de pied à table).

Suis taquin hein …

On peut poster autant de journaux qu'on veut sur autre chose que Linux et le libre et y'a pas de problème, mais une question technique à un endroit où la qualité technique des intervenants n'est plus à démontrer et où il y a quand même pas mal d'administrateurs MS qui trainent (et qui le revendiquent) et je me fais fusiller …

C'est bien la première fois en 10 ans de présence ici, que je rejoins ceux qui clament que la communauté du libre n'est remplie que d'aigris et de mecs à oeillères.

Je m'en vais de ce pas demander à l'équipe de me rembourser immédiatement mon abonnement gratuit à linuxfr, namého.

[ceci pour finir sur une note d'humour au second degrés, parce que tout le monde sait bien et a bien compris que je ne paie pas d'abonnement à linuxfr et que demander ce remboursement d'un accès gratuit n'a pas de sens, et contient tout le sel de cette formulation. Tiens c'est marrant l'humour quand il faut l'expliquer c'est nettement moins marrant …]

Franchement je suis plutot du genre conciliant et je dis facilement merci.

Mais là, un lien en double qui ne sert à rien …

A la limite, un RTFM m'aurait plus aidé, ou même que la modération supprime mon message, j'aurais compris.

Ah oui tu vas intéresser plein de monde si tu as une source là-dessus !!

Moi quand je peux aider hein

J'ai vérifié le shell et ca n'a pas l'air de venir de là.

En fait, c'est un script au up/down de l'interface réseau qui plantait l'accès (brtcl qui a migré de répertoire entre Debian 6 et 7 …).

Mais maintenant j'ai une autre joyeuseté :-(.

Au bout d'un certain temps, j'ai un freeze du serveur en console, plus rien ne répond et pas d'autre solution que un reboot.

Et là, le serveur ne veut même plus rebooter … OVH a détecté un incident et va faire une intervention …

D'où l'édition de mon commentaire …

A essayer avec le HOSTNAME.

Tiré du default.conf de apache2 …

ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined

Par contre à mettre dans chaque VirtualHost (en même temps, je vois pas trop comment on pourrait faire d'autre hein …)

Edit : y a peut être moyen de bricoler quelque chose à partir du Hostname

Dans le genre

ErrorLog /path/vers/les/logs/${HOST_NAME}/error.log
CustomLog /path/vers/les/logs/${HOST_NAME}/access.log combined

En mettant ça dans le fichier de conf générale d'Apache.
A essayer.

"URL content" c'est plutot "le contenu de l'URL" que "l'URL contient", donc moi je verrais :

Le contenu de l'URL est en HTML, aucun flux disponible.

et

Le contenu de l'URL est en HTML, et contient plusieurs flux.

En fait, j'ai l'impression que l'anglais n'est pas terrible déjà (mais bon suis pas un pro de la langue …).

Juste merci.
C'est tellement rare les posteurs qui (re)viennent donner leur solution.