Firewall iptables sur serveur scaleway

psycows · September 12, 2015, 2:43pm

Bonjour,

j’ai installé yunohost sur server scaleway, et ça marche vraiment bien. Sauf au niveau du firewall ou ça bloque parfois, en effet le disque est un disque reseau (ou dans le genre).
Donc sur le forum scaleway j’ai trouvé qu’il faut rajouter ça :

nbdip=$(curl -s 169.254.42.42/conf | grep VOLUMES_0_EXPORT_URI=nbd:// | sed “s/VOLUMES_0_EXPORT_URI=nbd:////” | awk -F “:” ‘{ print $1 }’ | grep -E -o “10.1.([0-2]?[0-9][0-9]?).([0-2]?[0-9][0-9]?)”)
if [ $? -eq 1 ]; then
nbdip="10.1.18.0/23"
fi

et

iptables -A INPUT -i eth0 -s $nbdip -j ACCEPT

sur le sujet https://community.scaleway.com/t/how-to-configures-iptables-with-input-rules-with-dynamic-nbd/303

ma question est comment utiliser ça avec le firewall d’origine (en faisant un ficher firewall ça marche)

Merci

yunorasp · October 1, 2015, 4:34pm

Bonjour,

Je commence aussi à jouer sur Scaleway avec Yunohost.
Pouvez-vous m’en dire plus sur votre fichier firewall ? que mettez-vous dans ce fichier, et ou le placez-vous ?

Cordialement

psycows · October 1, 2015, 5:36pm

Bonjour;

créer un fichier

nano /etc/init.d/firewall

#!/bin/sh
### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $local_fs $remote_fs $network $syslog
# Required-Stop:     $local_fs $remote_fs $network $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start/stop firewall
### END INIT INFO

nbdip=$(curl -s 169.254.42.42/conf | grep VOLUMES_0_EXPORT_URI=nbd:// | sed "s/VOLUMES_0_EXPORT_URI=nbd:\/\///" | awk -F ":" '{ print $1$
if [ $? -eq 1 ]; then
        nbdip="10.1.18.0/23"
fi

# Vidage des tables et des regles personnelles
iptables -t filter -P INPUT ACCEPT
iptables -t filter -F INPUT
iptables -t filter -F OUTPUT
iptables -t filter -F FORWARD
iptables -t nat -F
iptables -t nat -X

# Interdire toutes connexions entrantes

iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT

########## Regles ##########

# LOOPBACK
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -s $nbdip -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# PING
iptables -t filter -A INPUT -p icmp -j ACCEPT

# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

# DNS
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 5353 -j ACCEPT

# HTTPS
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT

# MAIL
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 587 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 993 -j ACCEPT

# XMPP
iptables -t filter -A INPUT -p tcp --dport 5222 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 5269 -j ACCEPT

# BLOCK INPUT

iptables -t filter -P INPUT DROP

# FAIL2BAN

fail2ban-client reload

Ensuite

chmod +x /etc/init.d/firewall

puis update-rc.d firewall defaults

puis tu ferme le firewall d’origine yunohost et tu lance le nouveau

service yunohost-firewall stop && service firewall start

et tu desactive le firewall yunohost pour qu’au reboot il ne se relance pas

dans /etc/init.d

update-rc -f yunohost-firewall remove

voilà chez moi ça marche bien même en aillant ajouté un volume. Si tu utilises openvpn ou d’autres services tu doit adapter évidemment (je n’utilise pas pop pour les mails donc le service est fermé (et en faite je n’utilise pas non plus le port 80 je l’ai ici au cas où)).

djip · October 8, 2015, 10:17am

Faut aussi que j’essai de jouer avec scaleway…

Je vois que certain l’in deja installé… si qq’un peu donner les etapes qu’il a suivi…
en particulier vous partez sur une image Debian? / Conteneur?

sinon pour le firewall… dans yunohost pour les mails si j’ai bien vu seul les version ssl sont activé… pas besoin d’exposer les ports 25/587
je dirais idem pour http: 80 inutil toujours https…

Personne n’a essayer de creer un installeur specifique à scaleway? (en attandant d’avoir une image…)

scith · October 8, 2015, 11:38am

Si j’ai essayé mais pas encore bien réussi. J’ai des perfs réseau minables, je sais pas trop d’où ça vient ? Les pages mettent un temps fou à charger pourtant je suis très large en CPU/RAM.
J’ai installé avec le script officiel sur image Debian Jessie.

Je vais voir pour faire une image depuis leur procédure Docker

djip · October 8, 2015, 4:17pm

Bon faut que je me lance alors…

Par contre pour le Firwall normalement pas besoin de le mettre sur le serveur, il est possible de configurer les accé directement dans la configuration: la faq (Frequently Asked Questions) dit ca:

Can I have a firewall?Yes!
You have the possibility to create security groups. They will directly
use the ASICs of our network equipments to offer the best performances.Using
security groups, you can create stateless rules dropping or allowing
incomming traffic from specific sources. You can then create your own
private infrastructure by disabling the public IPs of your servers.

psycows · October 11, 2015, 8:20am

Bonjour,

il y’a un firewall dans le panel scaleway, j’ai testé (rapidement) et tout blqoué (aussi rapidement )
Pour les ports mails je crois que le port 25 est obligatoire, pas pour ton usage, mais pour la communication entre les serveurs mails.
Je désactive aussi le port 80.

Pou les perfs, je les trouvent plutôt pas mal, en plus de yunohost je fait tourner un serveur minecraft (je suis le seul à l’utiliser et subsonic (installé indépendamment de yunohost, relié à un compte hubic par hubicfuse, le stream musique fonctionne correctement, mais pas de stream vidéo possible) et ça tourne. Enfin ça tourné parce que la j’ai rendu le serveur pour un vps, mais je revient sur scaleway.

yunorasp · October 11, 2015, 8:27am

Bonjour,

Je suis sur Scaleway depuis un peu plus d’une semaine, et tout se passe bien.
Je suis parti de la dernière Debian, et installé Yunohost comme décrit dans la doc.
Pas touché au firewall.
Côté performance réseau, ça passe plutôt bien, sachant qu’auparavant j’avais un raspberry pi derrière une ligne ADSL.

psycows · October 11, 2015, 9:13am

Bonjour,

As tu déjà fait un reboot de ton serveur ?

yunorasp · October 11, 2015, 9:22am

Oui, plusieurs fois, pourquoi ?

psycows · October 11, 2015, 9:26am

Tu n’as jamais eu de coupure ? comme le disque est un disque réseau. Moi ça coupe

yunorasp · October 11, 2015, 9:28am

Le serveur tourne bien après reboot.

psycows · October 11, 2015, 9:37am

Ok, je viens de tester sur une clean install ça marche. Le problème doit venir du fait qu’après j’intstall bind et que resolv.conf et sur le 127.0.0.1 et je vire dnsmasq. Du coup comment tu fait pour ton nom de domaine ?

yunorasp · October 11, 2015, 9:50am

Je prends l’install yunohost telle quelle et je pointe mes dns vers l’ip publique

djip · October 12, 2015, 10:57am

Comme yunorasp (qui va devoir changer de nom pour yunoscale;)) J’utilise les services fourni avec mon nom de domaine, je cree tous les noms qui sont utils en les faisant pointer sur l’adress IP public du serveur:
domaine.dlt => NNN.NNN.NNN.NNN sutout…
puis en general:

imap.domaine.dlt => domaine.dlt
smpt.domaine.dlt => domaine.dlt
le MX (pour recevoir les mails) => domaine.dlt

yunorasp · October 14, 2015, 9:15pm

Je n’ai pas fait le imap.domaine.dlt et smtp.domaine.dlt, et ça passe nickel pour recevoir/envoyer les mails en renseignant sur les clients mails directement domaine.dlt pour imap et smtp.
Du coup à quoi servent ces lignes ?

djip · October 14, 2015, 9:51pm

Ce sont de simple redirection ca permet d’avoir une configuration plus “standart” dans les clients mail… mais oui ca marche aussi de ta facon.