We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Proxmox et redirection du traffic


acme
17/11/2016, 23h04
L'idée de l'IP failover était vraiment sympa dommage que cette option ne soit plus disponible.

Concernant les régles de firewall, je vais être encore plus extrême vu que je mettrais cette règle :
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.1.x (ip de la machine openBSD)
Et ensuite je laisse la machine sous OpenBsd et Packet filter gérér les différents flux.

@Sloomy : En effet, PFsense aurait pu être pas mal, mais en matière de sécu je pars du principe que Small is Smart. En gros, plus tu as de services plus tu es exposé.En matière de robustesse et de simplicité OpenBSD est top ! (3 failles en 10 ans de mémoire).

cassiopee
17/11/2016, 20h14
Arf, oui, c'est vrai que maintenant les Kimsufi, c'est un peu limité

Bon, ben le schéma évolue un petit peu :

Nom de domaine -> IP publique du KS -> VM OpenBSD -> redirection vers IP privées des autres VM.

Au niveau du flux rentrant la distinction se fera sur le numéro de port.

Par exemple, tout ce qui rentre sur l'IP publique du Kimsufi et sur le port 80 -> direction la VM OpenBSD
tout ce qui rentre sur l'IP publique du Kimsufi et sur le port 8006 -> direction Proxmox

janus57
17/11/2016, 19h18
Bonjour,

sauf que les KS ont 1 seule et unique IPv4/v6 (et non éligible aux IP FO).

Donc à moins que cette personne est un vieux KS le coup de l'IP FO est à oublié (et si vieux KS il serait peut être préférable de passer sur SYS qui propose 16IP FO de base).

Cordialement, janus57

acme
17/11/2016, 12h37
Cool ! J'avais que ma demande ne soit pas comprise !

Là tu m'as donnée une nouvelle idée, dis moi si je me trompe mais a priori j'ai deux options
La premiere avec une seule IP (mon idée de depart) avec sur l'iptable du proxmox une régle dans ce genre :
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.1.x ## IP de la machine OpenBSD
Ensuite je gere mes régles de firewalling sur l'OpenBSD et Packet Filter.

Deuxième solution, faire une demande afin d'avoir une seconde ip aupres de Ks afin de mettre la VM Openbsd en VMBR0 (donc en frontale sur le WAN) et ensuite bridger le reste des machines sur le VMBR1 du OpenBSD.

J'ai bon ?
Un tuto ca vous intéresse ?

@Sloomy, PfSense pourrait en effet fonctionner mas je pars du principe que pour un serveur lié à la sécurité small is smart, donc en gros, moins j'ai de services exposés plus c'est fiable. OpenBSD est connu pour sa robustesse (3 failles en 10ans de mémoire), en plus le firewall des *BSD est, selon moi, plus facile a administrer.

Je viens de voir que PFsense etait basé sur du FreeBSD, j'aurais du me douter avec ce nom...c'est vrai que ca peut-être intéressant pour une machine clé en main.
A voir.

acme
17/11/2016, 12h25
Cool ! J'avais que ma demande ne soit pas comprise !

Là tu m'as donnée une nouvelle idée, dis moi si je me trompe mais a priori j'ai deux options
La premiere avec une seule IP (mon idée de depart) avec sur l'iptable du proxmox une régle dans ce genre :
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.1.x ## IP de la machine OpenBSD
Ensuite je gere mes régles de firewalling sur l'OpenBSD et Packet Filter.

Deuxième solution, faire une demande afin d'avoir une seconde ip aupres de Ks afin de mettre la VM Openbsd en VMBR0 (donc en frontale sur le WAN) et ensuite bridger le reste des machines sur le VMBR1 du OpenBSD.

J'ai bon ?
Un tuto ca vous intéresse ?

@Sloomy, PfSense pourrait en effet fonctionner mas je pars du principe que pour un serveur lié à la sécurité small is smart, donc en gros, moins j'ai de services exposés plus c'est fiable. OpenBSD est connu pour sa robustesse (3 failles en 10ans de mémoire), en plus le firewall des *BSD est, selon moi, plus facile a administrer.

acme
17/11/2016, 10h35
Cool ! J'avais que ma demande ne soit pas comprise !

Là tu m'as donnée une nouvelle idée, dis moi si je me trompe mais a priori j'ai deux options
La premiere avec une seule IP (mon idée de depart) avec sur l'iptable du proxmox une régle dans ce genre :
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.1.x ## IP de la machine OpenBSD
Ensuite je gere mes régles de firewalling sur l'OpenBSD et Packet Filter.

Deuxième solution, faire une demande afin d'avoir une seconde ip aupres de Ks afin de mettre la VM Openbsd en VMBR0 (donc en frontale sur le WAN) et ensuite bridger le reste des machines sur le VMBR1 du OpenBSD.

J'ai bon ?
Un tuto ca vous intéresse ?

@Sloomy, PfSense pourrait en effet fonctionner mas je pars du principe que pour un serveur lié à la sécurité small is smart, donc en gros, moins j'ai de services exposés plus c'est fiable. OpenBSD est connu pour sa robustesse (3 failles en 10ans de mémoire), en plus le firewall des *BSD est, selon moi, plus facile a administrer.

cassiopee
16/11/2016, 22h52
Citation Envoyé par acme
Yes, faute de mieux la machine sous openBsd sera une VM hébergée sur le proxmox.

Je n'aime pas du tout l'idée du proxmox en frontal sur le Wan.
Ok, alors dans ce cas, plutôt que de rediriger des flux via iptables
il vaudrait sans doute mieux utiliser une IP failover afin que le flux
arrive normalement sur la VM avec OpenBSD.

Ensuite, la VM OpenBSD pourra faire suivre (via "pf" et non "iptables" mais c'est pareil),
soit vers des IP publiques, soit vers des IP privées non-routables,
attribuées aux autres VM à protéger.

Nom de domaine -> IP failover -> VM OpenBSD -> redirection vers IP publiques ou privées des autres VM.

sloomy
16/11/2016, 18h44
Bonjour,

Et un pfsense ? ca ne serait pas mieux ?

Cdlt
Bruno

nowwhat
16/11/2016, 14h59
De mémoire, OpenBSD t'offre beaucoup, mais certainement pas 'iptables'

acme
15/11/2016, 23h28
Yes, faute de mieux la machine sous openBsd sera une VM hébergée sur le proxmox.

Je n'aime pas du tout l'idée du proxmox en frontal sur le Wan.

cassiopee
15/11/2016, 12h42
Ton "firewall OpenBSD", c'est une machine virtuelle utilisant OpenBSD dans ton serveur Proxmox
ou c'est un serveur dédié à part, tournant sous OpenBSD ?

acme
14/11/2016, 22h43
Bonjour à tous,

J'ai depuis peu un serveur proxmox avec quelques machines virtuelles, celles-ci sont bien joignable depuis le Net via des règles de redirection.

Mais voila, le fait que mon proxmox gère à la fois les VM et les règles de firewalling me gene. En effet, j'aimerais mettre une machine un peu plus solide en frontale du WAN, au hasard, un openBSD. Du coup, je voudrais créer une règle iptable permettant de router tout le traffic entrant (du Wan vers le Lan) sur mon serveur proxmox vers une ip correspondant à mon firewall OpenBSD.

Qu'en pensez-vous ?