We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

IP Monitoring chez Kimsufi


Rathorian
01/07/2016, 20h46
Merci à tous pour vos conseils, c'est noté

Bonne soirée

BBR
30/06/2016, 13h46
Perso je mets cela et je n'ai jamais eu de souci avec les monitorings d'ovh
Code:
# ICMP (Ping)
# on bloque la demande de ping et on autorise ovh pour le monitoring
/sbin/iptables -t filter -A INPUT -p icmp -j DROP

#On autorise nos ip
/sbin/iptables -A INPUT -i eth0 -p icmp --source mon_ip1 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source mon_ip2 -j ACCEPT

#on garde la possibilite de faire des ping depuis le serveur
/sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT

##RTM et ping OVH
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 37.187.231.251 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source a2.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.184.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.185.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 92.222.186.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source 167.114.37.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.sbg.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.bhs.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --dport 6100:6200 -j ACCEPT

#Mettre le debut IP du serveur a la place des xxx
/sbin/iptables -A INPUT -p icmp --source xxx.xxx.xxx.250 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --source xxx.xxx.xxx.251 -j ACCEPT

janus57
30/06/2016, 13h24
Citation Envoyé par Rathorian
Oui je suis totalement d'accord mais l'ICMP totalement ouvert pour tous peut être un problème, c'est rare mais ça peut arriver, non ?
Bonjour,

pourquoi ?

Sachant qu'en plus il me semble que si le VAC s'active il coupe ICMP pour internet en même temps que la mise en place de la mitigation, donc si l'attaquant se fie à un simple ping pour savoir si sa cible est mort bah voilà quoi.

Perso je fait comme @nowwhat des applications bien installé/paramétré + fail2ban, snort et autre choses bien sympatriques et voilà pas besoin de jouer à l'apprenti sorcier avec un firewall qui à 50% de chance de me bloquer dehors (si mal config) et 50% de chance de lancer un reboot du serveur par OVH (toujours si mal config).

Cordialement, janus57

Rathorian
30/06/2016, 10h11
Oui je suis totalement d'accord mais l'ICMP totalement ouvert pour tous peut être un problème, c'est rare mais ça peut arriver, non ?

nowwhat
30/06/2016, 09h47
Citation Envoyé par Rathorian
.....
C'est juste énorme le nombre d'IP à autoriser.
Sachant que 99,999999 % des attaques ont lieu sur les portes servi par tes applications et services, concentre toi à 'filtrer' ces portes (22, 25, 53, 80, 110, etc).
Bloquer les portes qui ne sont pas servi, ça n'a pas trop de sens

Sur mes serveurs, en dehors de fail2ban qui ajoute des règles, mon parafeu est vide. Je me suis focus sur le paramétrage des mes apps.

Rathorian
29/06/2016, 23h03
Ok, merci bien pour toutes ces informations.

Bonne soirée à toi

janus57
29/06/2016, 22h16
Bonjour,

pour le port cela doit concerner uniquement les serveur OVH (voir SYS) car le monitoring KS est beaucoup plus basic vu qu'il n'y a aucune SLA.

Et oui d'après la doc AAA c'est 250/251

Cordialement, janus57

Rathorian
29/06/2016, 21h40
Merci Janus57.
C'est juste énorme le nombre d'IP à autoriser.

Il y a 2 ou 3 trucs que je suis pas sûr de comprendre :
xxx.xxx.xxx.251
(xxx.xxx.xxx.aaa étant l'ip du serveur)

Les "xxx" je comprends bien que c'est l'IP de mon serveur mais le "aaa" ça correspond au 251 ?

A cette ligne :
icmp + port surveiller par le service monitoring

C'est quoi ce fameux port

Merci beaucoup
Cordialement

janus57
29/06/2016, 20h17
Bonjour,

vous avez tout ici : https://docs.ovh.com/pages/releasevi...pageId=9928706

Cordialement, janus57

Rathorian
29/06/2016, 19h27
Bonjour à tous,

Je viens de reprendre un kimsufi après un long arrêt sur ce service là.

Mettant toujours en place un firewall sur mes serveurs, j'aurais aimé savoir quel est l'IP ou les choses à autoriser pour le monitoring Kimsufi.
Histoire qu'ils me mettent pas en défaut le serveur dès que mon firewall sera actif !

Merci
Cordialement