Outils pour utilisateurs

Outils du site


dedibox

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
dedibox [2011/09/05 19:24]
thierry
dedibox [2012/07/11 17:37] (Version actuelle)
thierry
Ligne 92: Ligne 92:
 Pour ssh. Editer **''/​etc/​ssh/​sshd_config''​** et décommenter la ligne: Pour ssh. Editer **''/​etc/​ssh/​sshd_config''​** et décommenter la ligne:
   ListenAddress 0.0.0.0   ListenAddress 0.0.0.0
 +
 +Ou plutôt , editer **''/​etc/​default/​ssh''​** et faire en sorte d'​ajouter "​-4"​ au démarrage de sshd. Exemple:
 +  SSHD_OPTS="​-4"​
  
 Redemarrer les services residuels, afin qu'ils "​oublient"​ ipv6. Redemarrer les services residuels, afin qu'ils "​oublient"​ ipv6.
Ligne 98: Ligne 101:
  
 ===== Dummy Interface ===== ===== Dummy Interface =====
 +
 +Lien: http://​linax.wordpress.com/​2009/​09/​12/​linux-dummy-network-device/​
  
 Sous Debian, il faut une interface reseau **bridgé** pour que Xen puisse ensuite la partagé aux machines virtuelles: Sous Debian, il faut une interface reseau **bridgé** pour que Xen puisse ensuite la partagé aux machines virtuelles:
Ligne 125: Ligne 130:
 Pour charger le pilote a chaque boot, ajouter dans **''/​etc/​modules''​** : Pour charger le pilote a chaque boot, ajouter dans **''/​etc/​modules''​** :
   dummy   dummy
 +
 +Si vous voulez avoir plus d'​interface "​dummy",​ alors mettre par exemple:
 +  dummy numdummies=3
 +... pour en avoir 3.
  
 Configurer "​dummy0"​... dans **''/​etc/​network/​interfaces''​**,​ ajouter un truc du genre: Configurer "​dummy0"​... dans **''/​etc/​network/​interfaces''​**,​ ajouter un truc du genre:
   auto dummy0   auto dummy0
   iface dummy0 inet manual   iface dummy0 inet manual
 +        up ip link set $IFACE address 3a:​11:​9d:​4d:​d7:​64
   ​   ​
   auto brlan   auto brlan
Ligne 147: Ligne 157:
  
 Voila. Voila.
 +
 +
 +| :!: je force la MAC parce que "​dummy"​ va créer aléatoirement une nouvelle MAC a chaque redemarrage... et ce n'est pas ce que je veux.\\ Equivalent de **''​up ifconfig $IFACE hw ether 3a:​11:​9d:​4d:​d7:​64''​** |
 +
 +| :!: Choisir la MAC que vous voulez, ou laissez "​dummy"​ faire tout seul... |
 +
  
 ===== LVM2 ===== ===== LVM2 =====
Ligne 431: Ligne 447:
 On va utiliser "​ferm"​ pour configurer "​iptables"​. On va utiliser "​ferm"​ pour configurer "​iptables"​.
  
 +=== ATTENTION ===
 +
 +**''​ferm''​** et **''​iptables''​** sont de puissant outils ! 
 +
 +Je décris rapidement la mise en place, mais il faut avoir conscience qu'une fois les règles Iptables en place, il y aura un "suivi des connexions"​ ( tracking ) qui peut:
 +  -Charger le CPU (si vous avez des milliers de connexion a "​suivre"​)
 +  -Empecher certains services de fonctionner:​ comme FTP, PPTP, RTP, etc...
 +
 +On peut largement optimiser la configuration (par exemple, pour ne pas "​suivre"​ les connexions locales).
 +
 +Il existe des modules a charger pour que des services fonctionnent. ​
 +
 +Ici, on ne verra que des cas simples de services simples.
  
 === pre-requis === === pre-requis ===
Ligne 513: Ligne 542:
  
 | :!: On n'a pas encore de règles pour le reseau local, donc: ca marche plus pour les machines virtuelles! | | :!: On n'a pas encore de règles pour le reseau local, donc: ca marche plus pour les machines virtuelles! |
 +
 +=== activer forward ===
 +
 +Maintenant qu'on un firewall en place, on peut se permettre d'​activer le "​forward"​ entre interface.
 +
 +Par exemple:
 +  # echo "​net.ipv4.ip_forward=1"​ >> /​etc/​sysctl.d/​local.conf
 +Appliquer maintenant (a moins que vous préfériez rebooter!) :
 +  # sysctl -p /​etc/​sysctl.d/​local.conf
 +
 +Voila.
 +
 +=== Régle pour le LAN ===
 +
 +On va autoriser le LAN a être visible du Dom0 et réciproquement.
 +
 +Il suffit d'​ajouter dans le fichier **''​ferm.conf''​** :
 +  # ---------------------
 +  # LAN
 +  # ---------------------
 +  ​
 +  @def $LAN_IF = brlan;
 +  @def $LAN_IP = 192.168.2.254;​
 +  @def $LAN_NETWORK = 192.168.2.0/​24;​
 +  ​
 +  chain INPUT if $LAN_IF mod state state ( NEW ESTABLISHED RELATED ) ACCEPT;
 +  chain OUTPUT of $LAN_IF mod state state ( NEW ESTABLISHED RELATED ) ACCEPT;
 +Il n'y a de régles restrictives (sauf d'​ignorer l'etat "​INVALID"​).
 +
 +et d'​appliquer cette nouvelle conf:
 +  # ferm ferm.conf
 +
 +Et ca marche dans les 2 sens.
 +
 +Mais les machines virtuelles ne peuvent toujours pas atteindre Internet !
 +
 +=== NAT simple ===
 +
 +Pour que les machines virtuelles puissent atteindre l'​Internet Mondial, ajouter cela:
 +
 +  ​
 +  # Declaration de classes locales
 +  ​
 +  @def $PRIVATE_NETWORK = ( 
 +    10.0.0.0/​8 ​
 +    192.168.0.0/​16 ​
 +    172.16.0.0/​12 ​
 +    169.254.0.0/​16
 +  );
 +  ​
 +  # Le reseau local vers le WAN
 +  ​
 +  chain FORWARD if $LAN_IF of $WAN_IF saddr $LAN_NETWORK {
 +    daddr $PRIVATE_NETWORK DROP;
 +    mod state state ( NEW ESTABLISHED RELATED ) ACCEPT;
 +  }
 +  ​
 +  # Autoriser les forward autorises (par le NAT)
 +  chain FORWARD if $WAN_IF of $LAN_IF daddr $LAN_NETWORK mod state state ( ESTABLISHED RELATED ) ACCEPT; ​
 +  ​
 +  # ---------------------
 +  # POSTROUTING LAN->WAN
 +  # ---------------------
 +  table nat chain POSTROUTING of $WAN_IF saddr $LAN_NETWORK SNAT to $WAN_IP;
 +
 +On prend garde de ne pas polluer le reseau avec des classes appartenant aux "​PRIVATE_NETWORK"​.
 +
 +On n'​utilise pas "​MASQUERADE"​ en optimisant, puisqu'​on connait déjà notre adresse IP publique.
 +
  
 ===== Tips ===== ===== Tips =====
Ligne 518: Ligne 616:
 ==== Dell Open Manage ==== ==== Dell Open Manage ====
  
-FIXME+Liens: 
 +  *http://​linux.dell.com/​repo/​community/​deb/​ 
 + 
 +En gros: 
 +  # cd /​etc/​apt/​sources.list.d/​ 
 +Créer un fichier, par exemple **''​dell-om.list''​** avec dedans: 
 +  deb http://​linux.dell.com/​repo/​community/​deb/​latest / 
 + 
 +La 1er fois, installer la clé qui va bien pour que "​apt"​ soit en confiance. 
 +  # gpg --keyserver pgpkeys.mit.edu --recv-key E74433E25E3D7775 
 +  # gpg -a --export E74433E25E3D7775 | apt-key add - 
 + 
 +  # aptitude update 
 +   
 +Soyons fou: 
 +  # aptitude install srvadmin-all 
 + 
 +La 1er fois, le service demarre a la main: 
 + 
 +  # service dataeng start 
 + 
 +On a un etat de la bête: 
 +  /​opt/​dell/​srvadmin/​sbin/​omreport system summary 
 + 
 +  System Summary 
 +   
 +  ------------------ 
 +  Software Profile 
 +  ------------------ 
 +  Systems Management 
 +  Name                       : Server Administrator 
 +  Version ​                   : 6.5.0 
 +  Description ​               : Systems Management Software 
 +   
 +  Operating System 
 +  Name                       : Linux 
 +  Version ​                   : Kernel 2.6.32-5-xen-amd64 (x86_64) 
 +  System Time                : Sun Nov 13 02:14:33 2011 
 +  System Bootup Time         : Sun Nov  6 19:37:15 2011 
 +   
 +  -------- 
 +  System 
 +  -------- 
 +  System 
 +  Host Name                  : warez-1 
 +  System Location ​           : Please set the value 
 +  Life Cycle Controller ​     : Enabled 
 +   
 +  .... 
 +  Slot PCIE1 
 +  Adapter ​                   : PERC H200 Adapter 
 +  Type                       : PCI E Gen 2 
 +  Data Bus Width             : 16x or x16 
 +  Speed                      : [Not Obtained, see card documentation] 
 +  Slot Length ​               : Long 
 +  Voltage Supply ​            : 3.3 Volts 
 +   
 +  BIOS Information 
 +  Manufacturer ​              : Dell Inc. 
 +  Version ​                   : 1.5.2 
 +  Release Date               : 10/​18/​2010 
 +   
 +  Firmware Information 
 +  Name                       : iDRAC6 
 +  Version ​                   : 1.57 
 +   
 +Radin sur le matos et paresseux dans les mises à jour :) 
 + 
 + 
 +Démarrer l'​interface web: 
 +  # service dsm_om_connsvc start 
 +Et puis go: 
 +  # lynx https://​localhost:​1311/​ 
 +;) 
 + 
 +Rendre le démarrage du web pérenne: 
 +  # update-rc.d dsm_om_connsvc defaults 
 +Mais comme ça marche pas bien, modifier l'​entete du fichier **''/​etc/​init.d/​dsm_om_connsvc''​** en corrigeant pour avoir: 
 +  # Default-Start:​ 2 3 4 5 
 +  # Default-Stop:​ 0 1 6 
 + 
 +L'​interface fonctionne, et LOL:  
 +  La version du micrologiciel est obsolète. 
 +  Version du micrologiciel  ​               07.01.33.00 
 +  Version de micrologiciel minimale requise 07.02.42.00 
 + 
 +=== snmp et Nagios === 
 + 
 +Pour que "​check_openmanage"​ de "​Nagios"​ fonctionne, entre autre, il faut apporter quelques modifs aux services ''​snmpd''​ ... 
 + 
 +Modifier le fichier **''/​etc/​default/​snmpd''​** pour avoir : 
 +  # snmpd options (use syslog, close stdin/​out/​err). 
 +  # TJ ------------ ​      
 +  #​SNMPDOPTS='​-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /​var/​run/​snmpd.pid'​ 
 +  SNMPDOPTS='​-LS5d -Lf /dev/null -u snmp -g snmp -p /​var/​run/​snmpd.pid'​ 
 +  # --------------- 
 + 
 +Et dans **''/​etc/​snmp/​snmpd.conf''​** : 
 +  # Snmpd ouvert a tous 
 +  agentAddress ​ udp:161 
 +  # Acces pour nagios 
 +  rocommunity <​MOT_DE_PASSE>​ <​IP_DU_SERVEUR_NAGIOS>​ 
 + 
 +==== FailOver ==== 
 + 
 +Lien: http://​howto.landure.fr/​gnu-linux/​debian-4-0-etch/​mettre-en-oeuvre-la-solution-ip-failover-proposee-par-la-societe-ovh 
 + 
 +J'ai commandé une IP supplémentaire :-)  ... pas gratuite... OOOOOoooh... 
 + 
 +Ceci fait, via la console, on dirige la nouvelle IP vers son serveur. 
 + 
 +(Il peut y avoir de longues minutes d'​attente entre les differentes étapes...) 
 + 
 +Sur le serveur Linux, on ajoute la nouvelle IP juste pour voir: 
 + 
 +  # ip addr add dev eth0 <​IP>/​32 label "​eth0:​1"​ 
 + 
 +(Adapter les règles de FireWall au préalable) 
 + 
 +Ok. Ça répond au ping :-) 
 + 
 +On nettoie ça en virant ce qu'on vient de tester: 
 +  # ip addr del dev eth0 <​IP>/​32 
 + 
 +... et on refait une conf plus classique dans **''/​etc/​network/​interfaces''​** . 
 + 
 +  auto eth0:fo1 
 +  iface eth0:fo1 inet static 
 +        address <​IP>​ 
 +        netmask 255.255.255.255 
 + 
 +"​fo1"​ pour "Fail Over 1" ...  
 + 
 +Et voila. On a une 2ieme IP.
  
 +On peut l'​utiliser comme IP public pour divers trucs...
dedibox.1315243459.txt.gz · Dernière modification: 2011/09/05 19:24 par thierry