Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
wiki:cluster:proxmox:firewall [2014/11/09 22:40] stfk |
wiki:cluster:proxmox:firewall [2018/05/19 17:04] insolentbacon |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | ====== Firewall Proxmox ====== | ||
+ | |||
+ | <WRAP center round important 60%> | ||
+ | Ce n'est plus d' | ||
+ | </ | ||
+ | |||
+ | Depuis la version 3.3, Proxmox propose un service de firewall pour les machines virtuelles. Nous avons décidé d' | ||
+ | |||
+ | La politique choisie est donc de tout interdir en entrée, et d' | ||
+ | |||
+ | ===== Un peu de théorie... ===== | ||
+ | |||
+ | Ce firewall est très simple d' | ||
+ | |||
+ | Les règles sont définies pour chaques hotes. Pour chaque règle, vous retouvez les classiques adresses et port de sources et destinations, | ||
+ | |||
+ | Proxmox fournit une première abstraction fort utile : les security group. Les security group sont un ensemble de règles qui sont appliquées à chaque membre du security group, permettant une gestion centralisée, | ||
+ | |||
+ | Une deuxième abstraction sont les ipSet. Un ipSet est un ensemble d'ips auquel on peut choisir d' | ||
+ | |||
+ | ===== ...Et un peu de pratique ===== | ||
+ | |||
+ | Pour créer un security groupe, rendez vous dans le data center : | ||
+ | - Onglet firewall | ||
+ | - Sous onglet security group | ||
+ | - Vous pouvez créer de nouveaux security groups via Group : create, ou ajouter des règles sur un groupe existant en le selectionnant et en faisant rule : add. | ||
+ | |||
+ | Pour créer un ipSet : | ||
+ | - Onglet firewall du datacenter ( on va éviter de créer des data sets par machine... ) | ||
+ | - Sous onglet ipSet... | ||
+ | |||
+ | Comment éditer le firewall de ma machine ? | ||
+ | - Va sur ta machine | ||
+ | - Sélectionne l' | ||
+ | - Dans le sous onglet **rules** tu peux ajouter des interfaces aux security group on créer des règles. Une interface non spécifiée correspond à toutes les interfaces de ta machine. | ||
+ | |||
+ | Et comment j' | ||
+ | - Va sur ta machine | ||
+ | - Onglet firewall, sous onglet Options, passe Enable Firewall à Yes | ||
+ | - Ensuite, onglet network, double clique sur chacune de tes interfaces et coche l' | ||
+ | |||
+ | Qu'est ce que j'ai besoin de savoir pour travailler sur le firewall MiNET ? | ||
+ | - Sur toute machine que tu crées, il te faudra faire ceci : | ||
+ | - Ajouter la machine au security group **ping** ( permet de pinguer tes interfaces : utile pour voir si l'ip est disponible... ) | ||
+ | - Ajouter ton interface d' | ||
+ | - Ajouter ton interface d' | ||
+ | - Ajouter ton interface d' | ||
+ | - Tu peux ensuite créer gentiment les services de ta machine. | ||
+ | - Utilise uniquement les ipSet et les security groups définis dans datacenter. | ||
+ | |||
+ | Certains services particuliers auquel je dois faire attention ? ( Ces services font l' | ||
+ | - Un serveur qui doit échanger des infos avec le SQL MiNET doit être dans l' | ||
+ | - Un serveur qui doit échanger des infos avec sqlHosting doit être dans l' | ||
+ | - Un serveur qui doit avoir accès au LDAP MiNET doit être dans l' | ||
+ | - Un serveur VPN doit être dans l' | ||
+ | - Un noeud de notre cluster elastic search doit être dans l' | ||
+ | - Un MX doit être dans l' | ||
+ | - Les serveurs clients de l'API ADH5 doivent être dans le security group **adh5_api_clients** | ||
+ | |||
+ | |||