Re: [FRnOG] [TECH] Firewall chez OVH
On 2020-06-11 23:38, Bruno LEAL DE SOUSA wrote: Hello tout le monde ! Je suis face à une petite problématique que beaucoup ont du avoir déjà... J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et sont interconnectés sur un vlan grâce à leur solution vRack. Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux pas que me serveurs soient accessibles directement sur internet.. je voudrais les isoler derrière un Firewall typiquement afin de protéger le tout et d'ouvrir juste les ports nécessaires ! En regardant les solutions possibles.. ou plutôt qui me viennent en tête j'avais par exemple le déploiement d'un firewall PfSense... mais pas possible sur un serveur dédié chez Ovh ! La seule possibilité serait de prendre un serveur ESX ou une Infra vmware chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça va représenter... Avez-vous des idées ? Merci beaucoup! Bruno LEAL DE SOUSA 06.01.23.45.96 --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonsoir Désolé pour ma réponse tardive. De mon coté j'ai déployé opnsense via l'ipmi comme d'autres l'ont suggérés. J'ai aussi mis un vlan entre 2 pfsense pour la partie carp avec un block ip shared entre les 2 fw. Un script api dans la partie CARP bascule master pour que le block soit transféré d'un serveur a l'autre et j'ai une pseudo HA a 1' de coupure le temps de la bascule. par contre coté choix machine j'ai du prendre celle avec du Gb vers le vrack Mes machines qui font du services sont quand à elles une fois installé coupé du wan. la patte lan est dans le vrack et les FW gerent les acces. Bonne soirée. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Le 11/06/20 à 23:38, Bruno LEAL DE SOUSA a écrit : > Hello tout le monde ! > > Je suis face à une petite problématique que beaucoup ont du avoir déjà... > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et > sont interconnectés sur un vlan grâce à leur solution vRack. > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux > pas que me serveurs soient accessibles directement sur internet.. je > voudrais les isoler derrière un Firewall typiquement afin de protéger le > tout et d'ouvrir juste les ports nécessaires ! J'avoue ne pas très bien saisir l'intérêt du firewall dans ce cas. S'il s'agit de n'ouvrir que quelques ports sur l'ip publique, pourquoi ouvrir les autres ? Il "suffit" d'ouvrir sur l'ip publique du dédié les services qu'on veut publics et de n'ouvrir tous les autres que sur l'ip privée. J'ai raté quoi ? C'est parce que serait compliqué d'indiquer aux clients légitimes (donc à priori dans le vrack) d'utiliser l'ip privée du service que l'on souhaite laisser le service sur l'ip publique mais restreint à certains clients ? Pour mes besoins j'ai - des resolvers sur le vrack, qui résolvent les dns publics + une zone statique privée en *.lan.domaine.tld (avec unbound c'est très simple à faire, un fichier statique avec un script pour le modifier puis le mettre à jour partout) - un search sur lan.domaine.tld puis domaine.tld dans tous mes resolv.conf - des clients qui appellent les services sur $host sans préciser le fqdn, si $host.lan.domaine.tld existe ça ira sur son ip privée et sinon sur son ip publique (en pratique tous mes hosts ont une ip privée déclarée, mais ça permettrait de déclarer un serviceTruc.domaine.tld dans mes dns publics sans déclarer de serviceTruc.lan.domaine.tld et l'appel de serviceTruc irait sur une ip publique, je l'utilise pas car j'ai toujours fqdn ou privé) Mais ça répond pas forcément à ton besoin, c'est juste une solution sans firewall parce qu'il n'y a rien d'exposé publiquement. -- Daniel C'est facile d'arrêter de fumer, j'arrête 20 fois par jour! Oscar Wilde --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Hello, @Bruno : je n'ai jamais testé et je ne sais pas ce que cela vaut, mais il y a un Firewall activable sur pas mal de ressources chez OVH (serveurs dédiés, VPS, instances Public Cloud, etc). La doc est pas là : https://docs.ovh.com/gb/en/dedicated/firewall-network/ Cela répondra peut-être à ton besoin ... -- Joël June 14, 2020 10:16 AM, "Stéphane Rivière" wrote: >> Il est quand même effrayant que personne ne conseil à ce gentleman de >> passer par un hebergeur alternatif qui lui, lui proposera le service pour >> peut être une poignée d'euro de plus. > > Tout dépend des objectifs. > > Si l'idée est d'oublier le travail de soutier, il faut absolument aller > vers de l'AWzure, et même du CDNflare pour le web et autres bidules > prêts à l'emploi. Ca coûte une blinde, ça marche pas si bien que ça et > le CDN pour le web (à part pour les sites de 'cours de reproduction' ou > de torrent), c'est pas non plus une si bonne idée que ça. > > Si l'idée est de conserver un minimum d'autonomie et d'investir plus sur > la compétence que dans le plat tout préparé¹, OVH est un superbe terrain > de jeu : très bon réseau, super bécanes haut de gamme (les advance sont > tops par exemple) et, quoi qu'on dise, le support existe et on arrive > toujours à ce que l'on veux. > > J'ai des trucs variés chez eux (de l'xdsl, du trunk voip (sans leur > ipbx), du serv, du ndd, du mail pour les clients) et ça "juste le fait" > avec un excellent rapport qual/prix. > > Précision : client de la Hache depuis longtemps, j'apprécie Octave et > son œuvre. J'aurais pas pu dev mon biz avec cette facilité sans OVH :) > Après c'est pas parfait, faut connaître les produits et les utiliser en > fonction. Comme partout. > > ¹ Car plus c'est simple en apparence, moins c'est simple en réalité. Et, > un jour, la "simplicité" se vengera. > > -- > Be Seeing You > Number Six > > --- > Liste de diffusion du FRnOG > http://www.frnog.org --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
> Il est quand même effrayant que personne ne conseil à ce gentleman de > passer par un hebergeur alternatif qui lui, lui proposera le service pour > peut être une poignée d'euro de plus. Tout dépend des objectifs. Si l'idée est d'oublier le travail de soutier, il faut absolument aller vers de l'AWzure, et même du CDNflare pour le web et autres bidules prêts à l'emploi. Ca coûte une blinde, ça marche pas si bien que ça et le CDN pour le web (à part pour les sites de 'cours de reproduction' ou de torrent), c'est pas non plus une si bonne idée que ça. Si l'idée est de conserver un minimum d'autonomie et d'investir plus sur la compétence que dans le plat tout préparé¹, OVH est un superbe terrain de jeu : très bon réseau, super bécanes haut de gamme (les advance sont tops par exemple) et, quoi qu'on dise, le support existe et on arrive toujours à ce que l'on veux. J'ai des trucs variés chez eux (de l'xdsl, du trunk voip (sans leur ipbx), du serv, du ndd, du mail pour les clients) et ça "juste le fait" avec un excellent rapport qual/prix. Précision : client de la Hache depuis longtemps, j'apprécie Octave et son œuvre. J'aurais pas pu dev mon biz avec cette facilité sans OVH :) Après c'est pas parfait, faut connaître les produits et les utiliser en fonction. Comme partout. ¹ Car plus c'est simple en apparence, moins c'est simple en réalité. Et, un jour, la "simplicité" se vengera. -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
> Avez-vous des idées ? Xen/Debian brut, iptable pur + bridges vers les VM ou ufw comme David (j'ai testé et apprécié, c'est très cool mais bon... un fichier texte c'est bien aussi :). Tout est dans le penguin, pourquoi rajouter une surcouche dans une VM séparée ? Tout le routage (via des fakes bridges)) est dans l'hyperviseur, qui a son propre FW. Puis chaque VM a son FW. ce qui peut inclure des sous-réseaux 'intras' entre VM (généralement deux dans nos setups : 1 généraliste et l'autre dédié aux blocs de VM web : proxy,serveur/filer, db). Perfs de fou (sur des vieilles machines cossues à l'époque mais anciennes). Simplicité. Minimalisme. Fiabilité. Maintenabilité. Un exemple sur un setup ancien (avec l'astuce pour ne pas perdre 3 IP dans le bloc - ça marcherait aussi avec KVM ou n'importe quelle autre virtu : https://stef.genesix.org/pub/serveur_Debian_8_-_Genesix_v2_-_Installation.pdf Un peu d'effort au départ. Magnifique tranquillité ensuite. Xen/Debian gaze aussi sur des setups ridicules atom 4 Go ram (1 hyper et deux VM). La prochaine étape de l'année, c'est le passage à ganeti/drdb au dessus de xen/debian/mdadm/lvm, histoire de clouder l'infra, dans la continuité des technos utilisées depuis des années. -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Bonjour. Il est quand même effrayant que personne ne conseil à ce gentleman de passer par un hebergeur alternatif qui lui, lui proposera le service pour peut être une poignée d'euro de plus. Cdt Alex On Fri, 12 Jun 2020, 16:51 Jean-Francois Maeyhieux, wrote: > Hello ! > > il est possible de déployer un firewall pfsense/opnsense sur un > dédié OVH. Nous en avons avec le WAN d'un côté et le LAN dans un vrack > justement. > > Pour l'installation: > > - soit tu installes un freebsd depuis lequel tu installes ton pfsense > (necessite de savoir installer a la main, ce qui peut etre complexe) > > - soit plus simple tu utilises l'interface IPMI qui va te permettre de > charger un ISO localement sur un lecteur CD virtuel distant qui sera vu > au boot de ton serveur (c'est ce que l'on fait chez nous). > > Cordialement, >Jean-Francois Maeyhieux > > Le jeudi 11 juin 2020 à 23:38 +0200, Bruno LEAL DE SOUSA a écrit : > > Hello tout le monde ! > > > > Je suis face à une petite problématique que beaucoup ont du avoir > > déjà... > > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP > > publique et > > sont interconnectés sur un vlan grâce à leur solution vRack. > > > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je > > ne veux > > pas que me serveurs soient accessibles directement sur internet.. je > > voudrais les isoler derrière un Firewall typiquement afin de protéger > > le > > tout et d'ouvrir juste les ports nécessaires ! > > > > En regardant les solutions possibles.. ou plutôt qui me viennent en > > tête > > j'avais par exemple le déploiement d'un firewall PfSense... mais pas > > possible sur un serveur dédié chez Ovh ! > > La seule possibilité serait de prendre un serveur ESX ou une Infra > > vmware > > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso > > que ça > > va représenter... > > > > Avez-vous des idées ? > > > > Merci beaucoup! > > > > Bruno LEAL DE SOUSA > > 06.01.23.45.96 > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Hello ! il est possible de déployer un firewall pfsense/opnsense sur un dédié OVH. Nous en avons avec le WAN d'un côté et le LAN dans un vrack justement. Pour l'installation: - soit tu installes un freebsd depuis lequel tu installes ton pfsense (necessite de savoir installer a la main, ce qui peut etre complexe) - soit plus simple tu utilises l'interface IPMI qui va te permettre de charger un ISO localement sur un lecteur CD virtuel distant qui sera vu au boot de ton serveur (c'est ce que l'on fait chez nous). Cordialement, Jean-Francois Maeyhieux Le jeudi 11 juin 2020 à 23:38 +0200, Bruno LEAL DE SOUSA a écrit : > Hello tout le monde ! > > Je suis face à une petite problématique que beaucoup ont du avoir > déjà... > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP > publique et > sont interconnectés sur un vlan grâce à leur solution vRack. > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je > ne veux > pas que me serveurs soient accessibles directement sur internet.. je > voudrais les isoler derrière un Firewall typiquement afin de protéger > le > tout et d'ouvrir juste les ports nécessaires ! > > En regardant les solutions possibles.. ou plutôt qui me viennent en > tête > j'avais par exemple le déploiement d'un firewall PfSense... mais pas > possible sur un serveur dédié chez Ovh ! > La seule possibilité serait de prendre un serveur ESX ou une Infra > vmware > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso > que ça > va représenter... > > Avez-vous des idées ? > > Merci beaucoup! > > Bruno LEAL DE SOUSA > 06.01.23.45.96 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Le 12-06-2020 00:38, Charley SEDEAU a écrit : Hello, Pour moi ce pare-feu là ne s’active que pendant une mitigation DDoS, a moins de posséder l’option pro qui permet de mettre les IP en mitigation permanente.. J’ai mal compris le truc ? Oui et non ;) Si tu as pas de règles c'est quand l'antiDDoS qui déclenche. Si tu as des règles (20 par IP de mémoire), tu passes tjs par l'antiddos (mitigation permanente) Donc oui avec ca il est possible de faire un firewall chez OVH, par contre, je ne sais pas si ca marche avec le routage publique de vRack, à tester ! Mais le mieux ca reste quand même de maitriser un firewall (pfSense ou iptables roots style) pour ne pas être limité par les 20 règles … - Charley Le ven. 12 juin 2020 à 00:31, a écrit : Bonjour, quid du vRack firewall pour ce besoin ? https://docs.ovh.com/fr/dedicated/firewall-network/ - Mail original - De: "Olivier Lange" À: "Bruno LEAL DE SOUSA" Cc: "frnog-tech" Envoyé: Jeudi 11 Juin 2020 23:42:39 Objet: Re: [FRnOG] [TECH] Firewall chez OVH Salut, Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros, et tu la mets dans le cracks. Où sinon tu mets des règles de dent sur tes interfaces public. Olivier Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA < bruno.ld.so...@gmail.com> a écrit : > Hello tout le monde ! > > Je suis face à une petite problématique que beaucoup ont du avoir déjà... > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et > sont interconnectés sur un vlan grâce à leur solution vRack. > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux > pas que me serveurs soient accessibles directement sur internet.. je > voudrais les isoler derrière un Firewall typiquement afin de protéger le > tout et d'ouvrir juste les ports nécessaires ! > > En regardant les solutions possibles.. ou plutôt qui me viennent en tête > j'avais par exemple le déploiement d'un firewall PfSense... mais pas > possible sur un serveur dédié chez Ovh ! > La seule possibilité serait de prendre un serveur ESX ou une Infra vmware > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça > va représenter... > > Avez-vous des idées ? > > Merci beaucoup! > > Bruno LEAL DE SOUSA > 06.01.23.45.96 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Fabien VINCENT _@beufanet_ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Le 12/06/2020 à 01:54, David Ponzone a écrit : Debian brut avec ufw. Je n'ai jamais testé UFW, mais j'aime beaucoup Shorewall. C'est le même principe : une surcouche "simplificatrice" et "ergonomique" pour iptables. Shorewall fonctionne avec des fichiers de configuration clairs. Il y a des templates avec des exemples de syntaxe pour chaque fichier. Il gère les zones, les objets, ainsi que les groupes d'objets imbriqués. Il permet de faire des choses simples simplement. Mais il permet aussi d'aller assez loin pour des configurations pointues. Ceci étant, concernant la question initiale, n'importe quel firewall logiciel de ton choix fera l'affaire. De préférence, un que tu connais déjà, et que tu as déjà testé en local. Sur ce firewall virtuel, le minimum syndical : - Une interface WAN publique - Une ou plusieurs interfaces internes, sur des VLANS dans ton vRack; et ensuite, tu mets tes serveurs sur le VLAN interne de ton choix. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Le 12/06/2020 à 01:54, David Ponzone a écrit : >> Le 11 juin 2020 à 23:38, Bruno LEAL DE SOUSA a >> écrit : >> >> Hello tout le monde ! >> >> Je suis face à une petite problématique que beaucoup ont du avoir déjà... >> J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et >> sont interconnectés sur un vlan grâce à leur solution vRack. >> >> Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux >> pas que me serveurs soient accessibles directement sur internet.. je >> voudrais les isoler derrière un Firewall typiquement afin de protéger le >> tout et d'ouvrir juste les ports nécessaires ! >> >> En regardant les solutions possibles.. ou plutôt qui me viennent en tête >> j'avais par exemple le déploiement d'un firewall PfSense... mais pas >> possible sur un serveur dédié chez Ovh ! >> La seule possibilité serait de prendre un serveur ESX ou une Infra vmware >> chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça >> va représenter… >> > Debian brut avec ufw. > Ou Proxmox, avec ce que tu veux dans une VM. Ben voila, les meilleures solutions sont les plus simples. Je rajouterais de l'IPTables/Fail2BAN/Ngnx/Rkhunter et un bastion en amont pour l'admin de l'ensemble sur une VM que tu demarre que quand t'as besoin d'admin un serveur et tu devrais etre pas trop mal. Seb. > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
> Le 11 juin 2020 à 23:38, Bruno LEAL DE SOUSA a > écrit : > > Hello tout le monde ! > > Je suis face à une petite problématique que beaucoup ont du avoir déjà... > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et > sont interconnectés sur un vlan grâce à leur solution vRack. > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux > pas que me serveurs soient accessibles directement sur internet.. je > voudrais les isoler derrière un Firewall typiquement afin de protéger le > tout et d'ouvrir juste les ports nécessaires ! > > En regardant les solutions possibles.. ou plutôt qui me viennent en tête > j'avais par exemple le déploiement d'un firewall PfSense... mais pas > possible sur un serveur dédié chez Ovh ! > La seule possibilité serait de prendre un serveur ESX ou une Infra vmware > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça > va représenter… > Debian brut avec ufw. Ou Proxmox, avec ce que tu veux dans une VM. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Hello Les serveurs dédié de OVH ne sont pas géré dans un Vshpere ? Car d’ici tu as la gestion d’un FW OVH. Ou sinon, très sous côté, tu peux corser les règles de tes FW sur les serveurs directement. Si c’est du Windows tu déploie juste une policy local ou alors si tu as un domain encore mieux. Pour du Linux, un peu de iptable ? Bonne soirée, Merwan > On Jun 11, 2020, at 5:39 PM, Bruno LEAL DE SOUSA > wrote: > > Hello tout le monde ! > > Je suis face à une petite problématique que beaucoup ont du avoir déjà... > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et > sont interconnectés sur un vlan grâce à leur solution vRack. > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux > pas que me serveurs soient accessibles directement sur internet.. je > voudrais les isoler derrière un Firewall typiquement afin de protéger le > tout et d'ouvrir juste les ports nécessaires ! > > En regardant les solutions possibles.. ou plutôt qui me viennent en tête > j'avais par exemple le déploiement d'un firewall PfSense... mais pas > possible sur un serveur dédié chez Ovh ! > La seule possibilité serait de prendre un serveur ESX ou une Infra vmware > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça > va représenter... > > Avez-vous des idées ? > > Merci beaucoup! > > Bruno LEAL DE SOUSA > 06.01.23.45.96 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Hello, Pour moi ce pare-feu là ne s’active que pendant une mitigation DDoS, a moins de posséder l’option pro qui permet de mettre les IP en mitigation permanente.. J’ai mal compris le truc ? - Charley Le ven. 12 juin 2020 à 00:31, a écrit : > Bonjour, > > quid du vRack firewall pour ce besoin ? > https://docs.ovh.com/fr/dedicated/firewall-network/ > > > - Mail original - > De: "Olivier Lange" > À: "Bruno LEAL DE SOUSA" > Cc: "frnog-tech" > Envoyé: Jeudi 11 Juin 2020 23:42:39 > Objet: Re: [FRnOG] [TECH] Firewall chez OVH > > Salut, > > Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros, > et tu la mets dans le cracks. > > Où sinon tu mets des règles de dent sur tes interfaces public. > > Olivier > > Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA < > bruno.ld.so...@gmail.com> > a écrit : > > > Hello tout le monde ! > > > > Je suis face à une petite problématique que beaucoup ont du avoir déjà... > > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique > et > > sont interconnectés sur un vlan grâce à leur solution vRack. > > > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne > veux > > pas que me serveurs soient accessibles directement sur internet.. je > > voudrais les isoler derrière un Firewall typiquement afin de protéger le > > tout et d'ouvrir juste les ports nécessaires ! > > > > En regardant les solutions possibles.. ou plutôt qui me viennent en tête > > j'avais par exemple le déploiement d'un firewall PfSense... mais pas > > possible sur un serveur dédié chez Ovh ! > > La seule possibilité serait de prendre un serveur ESX ou une Infra vmware > > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça > > va représenter... > > > > Avez-vous des idées ? > > > > Merci beaucoup! > > > > Bruno LEAL DE SOUSA > > 06.01.23.45.96 > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- - Charley --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Bonjour, quid du vRack firewall pour ce besoin ? https://docs.ovh.com/fr/dedicated/firewall-network/ - Mail original - De: "Olivier Lange" À: "Bruno LEAL DE SOUSA" Cc: "frnog-tech" Envoyé: Jeudi 11 Juin 2020 23:42:39 Objet: Re: [FRnOG] [TECH] Firewall chez OVH Salut, Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros, et tu la mets dans le cracks. Où sinon tu mets des règles de dent sur tes interfaces public. Olivier Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA a écrit : > Hello tout le monde ! > > Je suis face à une petite problématique que beaucoup ont du avoir déjà... > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et > sont interconnectés sur un vlan grâce à leur solution vRack. > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux > pas que me serveurs soient accessibles directement sur internet.. je > voudrais les isoler derrière un Firewall typiquement afin de protéger le > tout et d'ouvrir juste les ports nécessaires ! > > En regardant les solutions possibles.. ou plutôt qui me viennent en tête > j'avais par exemple le déploiement d'un firewall PfSense... mais pas > possible sur un serveur dédié chez Ovh ! > La seule possibilité serait de prendre un serveur ESX ou une Infra vmware > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça > va représenter... > > Avez-vous des idées ? > > Merci beaucoup! > > Bruno LEAL DE SOUSA > 06.01.23.45.96 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall chez OVH
Salut, Tu prends une VM public cloud, et dessus tu installes pfsense ou routeros, et tu la mets dans le cracks. Où sinon tu mets des règles de dent sur tes interfaces public. Olivier Le jeu. 11 juin 2020 à 17:39, Bruno LEAL DE SOUSA a écrit : > Hello tout le monde ! > > Je suis face à une petite problématique que beaucoup ont du avoir déjà... > J'ai des serveurs dédiés chez OVH. Chaque serveur a donc une IP publique et > sont interconnectés sur un vlan grâce à leur solution vRack. > > Jusqu'à la tout est Ok ! Par contre pour des raisons de sécurité je ne veux > pas que me serveurs soient accessibles directement sur internet.. je > voudrais les isoler derrière un Firewall typiquement afin de protéger le > tout et d'ouvrir juste les ports nécessaires ! > > En regardant les solutions possibles.. ou plutôt qui me viennent en tête > j'avais par exemple le déploiement d'un firewall PfSense... mais pas > possible sur un serveur dédié chez Ovh ! > La seule possibilité serait de prendre un serveur ESX ou une Infra vmware > chez eux pour virtualiser le firewall ! Ça fait cher pour la conso que ça > va représenter... > > Avez-vous des idées ? > > Merci beaucoup! > > Bruno LEAL DE SOUSA > 06.01.23.45.96 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
