dedibox
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
dedibox [2011/09/04 22:29] – thierry | dedibox [2012/04/12 14:24] – thierry | ||
---|---|---|---|
Ligne 98: | Ligne 98: | ||
===== Dummy Interface ===== | ===== Dummy Interface ===== | ||
+ | |||
+ | Lien: http:// | ||
Sous Debian, il faut une interface reseau **bridgé** pour que Xen puisse ensuite la partagé aux machines virtuelles: | Sous Debian, il faut une interface reseau **bridgé** pour que Xen puisse ensuite la partagé aux machines virtuelles: | ||
Ligne 125: | Ligne 127: | ||
Pour charger le pilote a chaque boot, ajouter dans **''/ | Pour charger le pilote a chaque boot, ajouter dans **''/ | ||
dummy | dummy | ||
+ | |||
+ | Si vous voulez avoir plus d' | ||
+ | dummy numdummies=3 | ||
+ | ... pour en avoir 3. | ||
Configurer " | Configurer " | ||
auto dummy0 | auto dummy0 | ||
iface dummy0 inet manual | iface dummy0 inet manual | ||
+ | up ifconfig $IFACE hw ether 3a: | ||
| | ||
auto brlan | auto brlan | ||
Ligne 147: | Ligne 154: | ||
Voila. | Voila. | ||
+ | |||
+ | |||
+ | | :!: je force la MAC parce que " | ||
+ | |||
+ | | :!: Choisir la MAC que vous voulez, ou laissez " | ||
+ | |||
===== LVM2 ===== | ===== LVM2 ===== | ||
Ligne 431: | Ligne 444: | ||
On va utiliser " | On va utiliser " | ||
+ | === ATTENTION === | ||
+ | |||
+ | **'' | ||
+ | |||
+ | Je décris rapidement la mise en place, mais il faut avoir conscience qu'une fois les règles Iptables en place, il y aura un "suivi des connexions" | ||
+ | -Charger le CPU (si vous avez des milliers de connexion a " | ||
+ | -Empecher certains services de fonctionner: | ||
+ | |||
+ | On peut largement optimiser la configuration (par exemple, pour ne pas " | ||
+ | |||
+ | Il existe des modules a charger pour que des services fonctionnent. | ||
+ | |||
+ | Ici, on ne verra que des cas simples de services simples. | ||
=== pre-requis === | === pre-requis === | ||
Ligne 439: | Ligne 465: | ||
Donc: | Donc: | ||
- | | + | |
- | | + | |
Voila. | Voila. | ||
Ligne 460: | Ligne 486: | ||
Voila. | Voila. | ||
+ | |||
+ | === regle simple === | ||
+ | |||
+ | On va trés simplement d' | ||
+ | |||
+ | Dans **''/ | ||
+ | |||
+ | # mv {, | ||
+ | puis créer un nouveau fichier **'' | ||
+ | |||
+ | # ------------------------------------ | ||
+ | # Regles iptables avec Ferm | ||
+ | # ------------------------------------ | ||
+ | | ||
+ | @def $WAN_IF = eth0; | ||
+ | @def $WAN_IP = < | ||
+ | | ||
+ | chain ( INPUT OUTPUT FORWARD ) policy DROP; | ||
+ | | ||
+ | # --------------------- | ||
+ | # Local | ||
+ | # --------------------- | ||
+ | chain INPUT if lo ACCEPT; | ||
+ | chain OUTPUT of lo ACCEPT; | ||
+ | | ||
+ | # --------------------- | ||
+ | # WAN | ||
+ | # --------------------- | ||
+ | | ||
+ | chain INPUT if $WAN_IF daddr $WAN_IP { | ||
+ | mod state state NEW { | ||
+ | proto tcp dport ssh ACCEPT; | ||
+ | proto icmp icmp-type echo-request mod limit limit 10/s ACCEPT; | ||
+ | proto tcp dport auth mod limit limit 10/s REJECT reject-with tcp-reset; | ||
+ | } | ||
+ | mod state state ( ESTABLISHED RELATED ) ACCEPT; | ||
+ | } | ||
+ | | ||
+ | # Et a la fin | ||
+ | chain OUTPUT of $WAN_IF saddr $WAN_IP mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
+ | | ||
+ | # ----- | ||
+ | # EOF | ||
+ | |||
+ | | :!: mettre l'IP de **votre** interface réseau **'' | ||
+ | |||
+ | Ceci fait: | ||
+ | # ferm -i ferm.conf | ||
+ | Si vous pouvez taper " | ||
+ | |||
+ | Il n'y a que SSH , le ping et le port " | ||
+ | |||
+ | | :!: On n'a pas encore de règles pour le reseau local, donc: ca marche plus pour les machines virtuelles! | | ||
+ | |||
+ | === activer forward === | ||
+ | |||
+ | Maintenant qu'on un firewall en place, on peut se permettre d' | ||
+ | |||
+ | Par exemple: | ||
+ | # echo " | ||
+ | Appliquer maintenant (a moins que vous préfériez rebooter!) : | ||
+ | # sysctl -p / | ||
+ | |||
+ | Voila. | ||
+ | |||
+ | === Régle pour le LAN === | ||
+ | |||
+ | On va autoriser le LAN a être visible du Dom0 et réciproquement. | ||
+ | |||
+ | Il suffit d' | ||
+ | # --------------------- | ||
+ | # LAN | ||
+ | # --------------------- | ||
+ | | ||
+ | @def $LAN_IF = brlan; | ||
+ | @def $LAN_IP = 192.168.2.254; | ||
+ | @def $LAN_NETWORK = 192.168.2.0/ | ||
+ | | ||
+ | chain INPUT if $LAN_IF mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
+ | chain OUTPUT of $LAN_IF mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
+ | Il n'y a de régles restrictives (sauf d' | ||
+ | |||
+ | et d' | ||
+ | # ferm ferm.conf | ||
+ | |||
+ | Et ca marche dans les 2 sens. | ||
+ | |||
+ | Mais les machines virtuelles ne peuvent toujours pas atteindre Internet ! | ||
+ | |||
+ | === NAT simple === | ||
+ | |||
+ | Pour que les machines virtuelles puissent atteindre l' | ||
+ | |||
+ | | ||
+ | # Declaration de classes locales | ||
+ | | ||
+ | @def $PRIVATE_NETWORK = ( | ||
+ | 10.0.0.0/ | ||
+ | 192.168.0.0/ | ||
+ | 172.16.0.0/ | ||
+ | 169.254.0.0/ | ||
+ | ); | ||
+ | | ||
+ | # Le reseau local vers le WAN | ||
+ | | ||
+ | chain FORWARD if $LAN_IF of $WAN_IF saddr $LAN_NETWORK { | ||
+ | daddr $PRIVATE_NETWORK DROP; | ||
+ | mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
+ | } | ||
+ | | ||
+ | # Autoriser les forward autorises (par le NAT) | ||
+ | chain FORWARD if $WAN_IF of $LAN_IF daddr $LAN_NETWORK mod state state ( ESTABLISHED RELATED ) ACCEPT; | ||
+ | | ||
+ | # --------------------- | ||
+ | # POSTROUTING LAN->WAN | ||
+ | # --------------------- | ||
+ | table nat chain POSTROUTING of $WAN_IF saddr $LAN_NETWORK SNAT to $WAN_IP; | ||
+ | |||
+ | On prend garde de ne pas polluer le reseau avec des classes appartenant aux " | ||
+ | |||
+ | On n' | ||
+ | |||
===== Tips ===== | ===== Tips ===== | ||
Ligne 465: | Ligne 613: | ||
==== Dell Open Manage ==== | ==== Dell Open Manage ==== | ||
- | FIXME | + | Liens: |
+ | *http:// | ||
+ | |||
+ | En gros: | ||
+ | # cd / | ||
+ | Créer un fichier, par exemple **'' | ||
+ | deb http:// | ||
+ | |||
+ | La 1er fois, installer la clé qui va bien pour que " | ||
+ | # gpg --keyserver pgpkeys.mit.edu --recv-key E74433E25E3D7775 | ||
+ | # gpg -a --export E74433E25E3D7775 | apt-key add - | ||
+ | |||
+ | # aptitude update | ||
+ | |||
+ | Soyons fou: | ||
+ | # aptitude install srvadmin-all | ||
+ | |||
+ | La 1er fois, le service demarre a la main: | ||
+ | |||
+ | # service dataeng start | ||
+ | |||
+ | On a un etat de la bête: | ||
+ | / | ||
+ | |||
+ | System Summary | ||
+ | |||
+ | ------------------ | ||
+ | Software Profile | ||
+ | ------------------ | ||
+ | Systems Management | ||
+ | Name : Server Administrator | ||
+ | Version | ||
+ | Description | ||
+ | |||
+ | Operating System | ||
+ | Name : Linux | ||
+ | Version | ||
+ | System Time : Sun Nov 13 02:14:33 2011 | ||
+ | System Bootup Time : Sun Nov 6 19:37:15 2011 | ||
+ | |||
+ | -------- | ||
+ | System | ||
+ | -------- | ||
+ | System | ||
+ | Host Name : warez-1 | ||
+ | System Location | ||
+ | Life Cycle Controller | ||
+ | |||
+ | .... | ||
+ | Slot PCIE1 | ||
+ | Adapter | ||
+ | Type : PCI E Gen 2 | ||
+ | Data Bus Width : 16x or x16 | ||
+ | Speed : [Not Obtained, see card documentation] | ||
+ | Slot Length | ||
+ | Voltage Supply | ||
+ | |||
+ | BIOS Information | ||
+ | Manufacturer | ||
+ | Version | ||
+ | Release Date : 10/ | ||
+ | |||
+ | Firmware Information | ||
+ | Name : iDRAC6 | ||
+ | Version | ||
+ | |||
+ | Radin sur le matos et paresseux dans les mises à jour :) | ||
+ | |||
+ | |||
+ | Démarrer l' | ||
+ | # service dsm_om_connsvc start | ||
+ | Et puis go: | ||
+ | # lynx https:// | ||
+ | ;) | ||
+ | |||
+ | Rendre le démarrage du web pérenne: | ||
+ | # update-rc.d dsm_om_connsvc defaults | ||
+ | Mais comme ça marche pas bien, modifier l' | ||
+ | # Default-Start: | ||
+ | # Default-Stop: | ||
+ | |||
+ | L' | ||
+ | La version du micrologiciel est obsolète. | ||
+ | Version du micrologiciel | ||
+ | Version de micrologiciel minimale requise 07.02.42.00 | ||
+ | |||
+ | === snmp et Nagios === | ||
+ | |||
+ | Pour que " | ||
+ | |||
+ | Modifier le fichier **''/ | ||
+ | # snmpd options (use syslog, close stdin/ | ||
+ | # TJ ------------ | ||
+ | # | ||
+ | SNMPDOPTS=' | ||
+ | # --------------- | ||
+ | |||
+ | Et dans **''/ | ||
+ | # Snmpd ouvert a tous | ||
+ | agentAddress | ||
+ | # Acces pour nagios | ||
+ | rocommunity < | ||
+ | |||
+ | ==== FailOver ==== | ||
+ | |||
+ | Lien: http:// | ||
+ | |||
+ | J'ai commandé une IP supplémentaire :-) ... pas gratuite... OOOOOoooh... | ||
+ | |||
+ | Ceci fait, via la console, on dirige la nouvelle IP vers son serveur. | ||
+ | |||
+ | (Il peut y avoir de longues minutes d' | ||
+ | |||
+ | Sur le serveur Linux, on ajoute la nouvelle IP juste pour voir: | ||
+ | |||
+ | # ip addr add dev eth0 < | ||
+ | |||
+ | (Adapter les règles de FireWall au préalable) | ||
+ | |||
+ | Ok. Ça répond au ping :-) | ||
+ | |||
+ | On nettoie ça en virant ce qu'on vient de tester: | ||
+ | # ip addr del dev eth0 < | ||
+ | |||
+ | ... et on refait une conf plus classique dans **''/ | ||
+ | |||
+ | auto eth0:fo1 | ||
+ | iface eth0:fo1 inet static | ||
+ | address < | ||
+ | netmask 255.255.255.255 | ||
+ | |||
+ | " | ||
+ | |||
+ | Et voila. On a une 2ieme IP. | ||
+ | On peut l' |
dedibox.txt · Dernière modification : 2012/07/11 15:37 de thierry