Outils pour utilisateurs
dedibox
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
dedibox [2011/09/05 19:24] thierry |
dedibox [2012/07/11 17:37] (Version actuelle) thierry |
||
|---|---|---|---|
| Ligne 92: | Ligne 92: | ||
| Pour ssh. Editer **''/etc/ssh/sshd_config''** et décommenter la ligne: | Pour ssh. Editer **''/etc/ssh/sshd_config''** et décommenter la ligne: | ||
| ListenAddress 0.0.0.0 | ListenAddress 0.0.0.0 | ||
| + | |||
| + | Ou plutôt , editer **''/etc/default/ssh''** et faire en sorte d'ajouter "-4" au démarrage de sshd. Exemple: | ||
| + | SSHD_OPTS="-4" | ||
| Redemarrer les services residuels, afin qu'ils "oublient" ipv6. | Redemarrer les services residuels, afin qu'ils "oublient" ipv6. | ||
| Ligne 98: | Ligne 101: | ||
| ===== Dummy Interface ===== | ===== Dummy Interface ===== | ||
| + | |||
| + | Lien: http://linax.wordpress.com/2009/09/12/linux-dummy-network-device/ | ||
| Sous Debian, il faut une interface reseau **bridgé** pour que Xen puisse ensuite la partagé aux machines virtuelles: | Sous Debian, il faut une interface reseau **bridgé** pour que Xen puisse ensuite la partagé aux machines virtuelles: | ||
| Ligne 125: | Ligne 130: | ||
| Pour charger le pilote a chaque boot, ajouter dans **''/etc/modules''** : | Pour charger le pilote a chaque boot, ajouter dans **''/etc/modules''** : | ||
| dummy | dummy | ||
| + | |||
| + | Si vous voulez avoir plus d'interface "dummy", alors mettre par exemple: | ||
| + | dummy numdummies=3 | ||
| + | ... pour en avoir 3. | ||
| Configurer "dummy0"... dans **''/etc/network/interfaces''**, ajouter un truc du genre: | Configurer "dummy0"... dans **''/etc/network/interfaces''**, ajouter un truc du genre: | ||
| auto dummy0 | auto dummy0 | ||
| iface dummy0 inet manual | iface dummy0 inet manual | ||
| + | up ip link set $IFACE address 3a:11:9d:4d:d7:64 | ||
| | | ||
| auto brlan | auto brlan | ||
| Ligne 147: | Ligne 157: | ||
| Voila. | Voila. | ||
| + | |||
| + | |||
| + | | :!: je force la MAC parce que "dummy" va créer aléatoirement une nouvelle MAC a chaque redemarrage... et ce n'est pas ce que je veux.\\ Equivalent de **''up ifconfig $IFACE hw ether 3a:11:9d:4d:d7:64''** | | ||
| + | |||
| + | | :!: Choisir la MAC que vous voulez, ou laissez "dummy" faire tout seul... | | ||
| + | |||
| ===== LVM2 ===== | ===== LVM2 ===== | ||
| Ligne 431: | Ligne 447: | ||
| On va utiliser "ferm" pour configurer "iptables". | On va utiliser "ferm" pour configurer "iptables". | ||
| + | === ATTENTION === | ||
| + | |||
| + | **''ferm''** et **''iptables''** sont de puissant outils ! | ||
| + | |||
| + | Je décris rapidement la mise en place, mais il faut avoir conscience qu'une fois les règles Iptables en place, il y aura un "suivi des connexions" ( tracking ) qui peut: | ||
| + | -Charger le CPU (si vous avez des milliers de connexion a "suivre") | ||
| + | -Empecher certains services de fonctionner: comme FTP, PPTP, RTP, etc... | ||
| + | |||
| + | On peut largement optimiser la configuration (par exemple, pour ne pas "suivre" les connexions locales). | ||
| + | |||
| + | Il existe des modules a charger pour que des services fonctionnent. | ||
| + | |||
| + | Ici, on ne verra que des cas simples de services simples. | ||
| === pre-requis === | === pre-requis === | ||
| Ligne 513: | Ligne 542: | ||
| | :!: On n'a pas encore de règles pour le reseau local, donc: ca marche plus pour les machines virtuelles! | | | :!: On n'a pas encore de règles pour le reseau local, donc: ca marche plus pour les machines virtuelles! | | ||
| + | |||
| + | === activer forward === | ||
| + | |||
| + | Maintenant qu'on un firewall en place, on peut se permettre d'activer le "forward" entre interface. | ||
| + | |||
| + | Par exemple: | ||
| + | # echo "net.ipv4.ip_forward=1" >> /etc/sysctl.d/local.conf | ||
| + | Appliquer maintenant (a moins que vous préfériez rebooter!) : | ||
| + | # sysctl -p /etc/sysctl.d/local.conf | ||
| + | |||
| + | Voila. | ||
| + | |||
| + | === Régle pour le LAN === | ||
| + | |||
| + | On va autoriser le LAN a être visible du Dom0 et réciproquement. | ||
| + | |||
| + | Il suffit d'ajouter dans le fichier **''ferm.conf''** : | ||
| + | # --------------------- | ||
| + | # LAN | ||
| + | # --------------------- | ||
| + | | ||
| + | @def $LAN_IF = brlan; | ||
| + | @def $LAN_IP = 192.168.2.254; | ||
| + | @def $LAN_NETWORK = 192.168.2.0/24; | ||
| + | | ||
| + | chain INPUT if $LAN_IF mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
| + | chain OUTPUT of $LAN_IF mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
| + | Il n'y a de régles restrictives (sauf d'ignorer l'etat "INVALID"). | ||
| + | |||
| + | et d'appliquer cette nouvelle conf: | ||
| + | # ferm ferm.conf | ||
| + | |||
| + | Et ca marche dans les 2 sens. | ||
| + | |||
| + | Mais les machines virtuelles ne peuvent toujours pas atteindre Internet ! | ||
| + | |||
| + | === NAT simple === | ||
| + | |||
| + | Pour que les machines virtuelles puissent atteindre l'Internet Mondial, ajouter cela: | ||
| + | |||
| + | | ||
| + | # Declaration de classes locales | ||
| + | | ||
| + | @def $PRIVATE_NETWORK = ( | ||
| + | 10.0.0.0/8 | ||
| + | 192.168.0.0/16 | ||
| + | 172.16.0.0/12 | ||
| + | 169.254.0.0/16 | ||
| + | ); | ||
| + | | ||
| + | # Le reseau local vers le WAN | ||
| + | | ||
| + | chain FORWARD if $LAN_IF of $WAN_IF saddr $LAN_NETWORK { | ||
| + | daddr $PRIVATE_NETWORK DROP; | ||
| + | mod state state ( NEW ESTABLISHED RELATED ) ACCEPT; | ||
| + | } | ||
| + | | ||
| + | # Autoriser les forward autorises (par le NAT) | ||
| + | chain FORWARD if $WAN_IF of $LAN_IF daddr $LAN_NETWORK mod state state ( ESTABLISHED RELATED ) ACCEPT; | ||
| + | | ||
| + | # --------------------- | ||
| + | # POSTROUTING LAN->WAN | ||
| + | # --------------------- | ||
| + | table nat chain POSTROUTING of $WAN_IF saddr $LAN_NETWORK SNAT to $WAN_IP; | ||
| + | |||
| + | On prend garde de ne pas polluer le reseau avec des classes appartenant aux "PRIVATE_NETWORK". | ||
| + | |||
| + | On n'utilise pas "MASQUERADE" en optimisant, puisqu'on connait déjà notre adresse IP publique. | ||
| + | |||
| ===== Tips ===== | ===== Tips ===== | ||
| Ligne 518: | Ligne 616: | ||
| ==== Dell Open Manage ==== | ==== Dell Open Manage ==== | ||
| - | FIXME | + | Liens: |
| + | *http://linux.dell.com/repo/community/deb/ | ||
| + | |||
| + | En gros: | ||
| + | # cd /etc/apt/sources.list.d/ | ||
| + | Créer un fichier, par exemple **''dell-om.list''** avec dedans: | ||
| + | deb http://linux.dell.com/repo/community/deb/latest / | ||
| + | |||
| + | La 1er fois, installer la clé qui va bien pour que "apt" soit en confiance. | ||
| + | # gpg --keyserver pgpkeys.mit.edu --recv-key E74433E25E3D7775 | ||
| + | # gpg -a --export E74433E25E3D7775 | apt-key add - | ||
| + | |||
| + | # aptitude update | ||
| + | |||
| + | Soyons fou: | ||
| + | # aptitude install srvadmin-all | ||
| + | |||
| + | La 1er fois, le service demarre a la main: | ||
| + | |||
| + | # service dataeng start | ||
| + | |||
| + | On a un etat de la bête: | ||
| + | /opt/dell/srvadmin/sbin/omreport system summary | ||
| + | |||
| + | System Summary | ||
| + | |||
| + | ------------------ | ||
| + | Software Profile | ||
| + | ------------------ | ||
| + | Systems Management | ||
| + | Name : Server Administrator | ||
| + | Version : 6.5.0 | ||
| + | Description : Systems Management Software | ||
| + | |||
| + | Operating System | ||
| + | Name : Linux | ||
| + | Version : Kernel 2.6.32-5-xen-amd64 (x86_64) | ||
| + | System Time : Sun Nov 13 02:14:33 2011 | ||
| + | System Bootup Time : Sun Nov 6 19:37:15 2011 | ||
| + | |||
| + | -------- | ||
| + | System | ||
| + | -------- | ||
| + | System | ||
| + | Host Name : warez-1 | ||
| + | System Location : Please set the value | ||
| + | Life Cycle Controller : Enabled | ||
| + | |||
| + | .... | ||
| + | Slot PCIE1 | ||
| + | Adapter : PERC H200 Adapter | ||
| + | Type : PCI E Gen 2 | ||
| + | Data Bus Width : 16x or x16 | ||
| + | Speed : [Not Obtained, see card documentation] | ||
| + | Slot Length : Long | ||
| + | Voltage Supply : 3.3 Volts | ||
| + | |||
| + | BIOS Information | ||
| + | Manufacturer : Dell Inc. | ||
| + | Version : 1.5.2 | ||
| + | Release Date : 10/18/2010 | ||
| + | |||
| + | Firmware Information | ||
| + | Name : iDRAC6 | ||
| + | Version : 1.57 | ||
| + | |||
| + | Radin sur le matos et paresseux dans les mises à jour :) | ||
| + | |||
| + | |||
| + | Démarrer l'interface web: | ||
| + | # service dsm_om_connsvc start | ||
| + | Et puis go: | ||
| + | # lynx https://localhost:1311/ | ||
| + | ;) | ||
| + | |||
| + | Rendre le démarrage du web pérenne: | ||
| + | # update-rc.d dsm_om_connsvc defaults | ||
| + | Mais comme ça marche pas bien, modifier l'entete du fichier **''/etc/init.d/dsm_om_connsvc''** en corrigeant pour avoir: | ||
| + | # Default-Start: 2 3 4 5 | ||
| + | # Default-Stop: 0 1 6 | ||
| + | |||
| + | L'interface fonctionne, et LOL: | ||
| + | La version du micrologiciel est obsolète. | ||
| + | Version du micrologiciel 07.01.33.00 | ||
| + | Version de micrologiciel minimale requise 07.02.42.00 | ||
| + | |||
| + | === snmp et Nagios === | ||
| + | |||
| + | Pour que "check_openmanage" de "Nagios" fonctionne, entre autre, il faut apporter quelques modifs aux services ''snmpd'' ... | ||
| + | |||
| + | Modifier le fichier **''/etc/default/snmpd''** pour avoir : | ||
| + | # snmpd options (use syslog, close stdin/out/err). | ||
| + | # TJ ------------ | ||
| + | #SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid' | ||
| + | SNMPDOPTS='-LS5d -Lf /dev/null -u snmp -g snmp -p /var/run/snmpd.pid' | ||
| + | # --------------- | ||
| + | |||
| + | Et dans **''/etc/snmp/snmpd.conf''** : | ||
| + | # Snmpd ouvert a tous | ||
| + | agentAddress udp:161 | ||
| + | # Acces pour nagios | ||
| + | rocommunity <MOT_DE_PASSE> <IP_DU_SERVEUR_NAGIOS> | ||
| + | |||
| + | ==== FailOver ==== | ||
| + | |||
| + | Lien: http://howto.landure.fr/gnu-linux/debian-4-0-etch/mettre-en-oeuvre-la-solution-ip-failover-proposee-par-la-societe-ovh | ||
| + | |||
| + | J'ai commandé une IP supplémentaire :-) ... pas gratuite... OOOOOoooh... | ||
| + | |||
| + | Ceci fait, via la console, on dirige la nouvelle IP vers son serveur. | ||
| + | |||
| + | (Il peut y avoir de longues minutes d'attente entre les differentes étapes...) | ||
| + | |||
| + | Sur le serveur Linux, on ajoute la nouvelle IP juste pour voir: | ||
| + | |||
| + | # ip addr add dev eth0 <IP>/32 label "eth0:1" | ||
| + | |||
| + | (Adapter les règles de FireWall au préalable) | ||
| + | |||
| + | Ok. Ça répond au ping :-) | ||
| + | |||
| + | On nettoie ça en virant ce qu'on vient de tester: | ||
| + | # ip addr del dev eth0 <IP>/32 | ||
| + | |||
| + | ... et on refait une conf plus classique dans **''/etc/network/interfaces''** . | ||
| + | |||
| + | auto eth0:fo1 | ||
| + | iface eth0:fo1 inet static | ||
| + | address <IP> | ||
| + | netmask 255.255.255.255 | ||
| + | |||
| + | "fo1" pour "Fail Over 1" ... | ||
| + | |||
| + | Et voila. On a une 2ieme IP. | ||
| + | On peut l'utiliser comme IP public pour divers trucs... | ||
dedibox.1315243459.txt.gz · Dernière modification: 2011/09/05 19:24 par thierry
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
