IPTABLES - un exemple de script firewall de base

ce bout de script iptables, permet de faire un SNAT, et laisse sortir du trafic http (port 80) et dns (53) en sortie vers internet et en entrée

Les deux dernières règles permettent de voir ce qui ne va pas en allant voir le syslog avec tail -f /var/log/syslog


#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward

DMZ=10.0.0.0/24
IPT='/sbin/iptables'

$IPT -F
$IPT -F -t nat

$IPT -P INPUT DROP

$IPT -P FORWARD DROP

# accept localhost internal trafic
$IPT -A INPUT -i lo -s localhost -j ACCEPT

#$IPT -P INPUT ACCEPT
#$IPT -P FORWARD ACCEPT

# accept ssh from dmz
$IPT -A INPUT -s $DMZ -i eth1 -p tcp --dport 22 -j ACCEPT

$IPT -A FORWARD -s $DMZ -i eth1 -p udp --dport 53 -j ACCEPT
$IPT -A FORWARD -d $DMZ -i eth0 -p udp --sport 53 -j ACCEPT
$IPT -A FORWARD -s $DMZ -i eth1 -p tcp --dport 80 -j ACCEPT
$IPT -A FORWARD -d $DMZ -i eth0 -p tcp --sport 80 -j ACCEPT

#allow all trafic for our network to go the internet
$IPT -t nat -A POSTROUTING -s $DMZ -j MASQUERADE

$IPT -A INPUT -j LOG --log-prefix "##DROPPED INPUT -- "
$IPT -A FORWARD -j LOG --log-prefix "##DROPPED FORWARD -- "

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Comment extraire les fichiers disques en raw d'un backup proxmox vma

Image
Lors d'une opération de backup Proxmox utilise un format vma pour stocker tous les disques et la configuration de la VM backupée (aussi bien les kvm que les openvz) La raison d'avoir basculé dans ce format est expliqué sur le wiki de proxmox Parfois il peut-être utile de récupérer une VM ou plus concrètement son ou ses disques pour l'utiliser dans un autre environnement de virtualisation C'est tout à fait possible en suivant les étapes ci-après depuis la console de votre serveur proxmox: Vérifiez l'espace que vous avez à disposition sur votre serveur avec un "df -hT" , choisissez une partition avec suffisamment d'espace (en gros la taille des disques de votre VM en raw) Créez un répertoire à l'endroit retenu et allez-dedans mkdir /mnt/pve/nas_proxmox_backup/tmp cd /mnt/pve/nas_proxmox_backup/tmp  Décompressez votre backup dans ce répertoire avec la commande lzop lzop -x /mnt/pve/nas_proxmox_backup/dump/vzdump-qemu-151-2015_04_12-00_34_26.
Lire la suite

Find the lists of disks of your Proxmox VM stored in a ceph cluster

Image
voici les commandes que j'utilise le plus souvent pour gérer mon cluster ceph sous Linux/Proxmox en ligne de commande  : ceph status : permet de vérifier que le cluster est en HEALTH_OK pveceph lspools : pour lister les noms de pools et les infos genre replica size, pg_num et pourcentage d'utilisation rbd ls poolname : pour lister les images (disques) de vos VMs sur le pool en question rbd -p  poolname  info  vm-104-disk-1:  pour lister les infos sur un disques exemple de sortie : rbd image 'vm-104-disk-1': size 32768 MB in 8192 objects order 22 (4096 kB objects) block_name_prefix: rbd_data.47fa74b0dc51 format: 2 features: layering, exclusive-lock, object-map, fast-diff, deep-flatten flags: create_timestamp: Tue Dec 26 13:39:30 2017 rados -p  poolname  ls |grep rbd_data.47fa74b0dc51 >/tmp/list_blocks_de_vm-104-disk1.txt permet de retrouver tous les blocks de cette image ceph df : pour obtenir l'espace disponible sur mon cluster ceph osd tree
Lire la suite

Comment copier une machine virtuelle kvm en raw sur un Volume Group LVM2 se trouvant sur un disque en DRBD

Image
Il se trouve que je devais migrer quelques machines virtuelle se trouvant sur un cluster proxmox sur le site de Lausanne, sur un autre cluster proxmox se trouvant à Lutry. Jusque-la rien de bien sorcier me direz-vous, si ce n'est qu'avec un lien réseau de faible débit entre les deux sites j'ai fait une copie initiale de mes images de bécannes virtuelles en fichier raw sur un disque externe. Sur le site de Lutry j'ai une config avec deux serveurs en cluster proxmox  lutrycalc01:~# pveca -l CID----IPADDRESS----ROLE-STATE--------UPTIME---LOAD----MEM---DISK  1 : 192.168.50.100  M     A     1 day 05:49   2.23     8%     1%  2 : 192.168.50.110  N     A     1 day 05:49   0.00     1%     1% chaque serveur à 3 disques logiques (de taillse identique) s'appuyant sur une config physique en RAID5. le 2ème disque logique /dev/sdb1  est répliqué sur les deux noeud grâce à l'excellent DRBD de LINBIT. Il y a un excellent howto pour configurer un disque drbd sur un cluste
Lire la suite