Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
tech:hypervisor-01 [07/10/2023 15:49] – [Routage et filtrage avec iptables] LibertAdmin | tech:hypervisor-01 [05/11/2023 19:51] – [Routage et filtrage avec iptables] LibertAdmin | ||
---|---|---|---|
Ligne 37: | Ligne 37: | ||
Hetzner offre une IP publique. Nous avons modifié l' | Hetzner offre une IP publique. Nous avons modifié l' | ||
- | L' | + | L' |
- | L' | + | L' |
< | < | ||
Ligne 65: | Ligne 65: | ||
iface br0 inet6 static | iface br0 inet6 static | ||
bridge_ports enp0s31f6 | bridge_ports enp0s31f6 | ||
- | bridge_hz | + | bridge_hw |
bridge_fd 0 | bridge_fd 0 | ||
bridge_stp off | bridge_stp off | ||
Ligne 79: | Ligne 79: | ||
bridge_fd 0 | bridge_fd 0 | ||
bridge_stp off | bridge_stp off | ||
- | address | + | address |
- | netmask 255.X.Y.Z | + | netmask 255.255.255.0 |
iface br1 inet6 static | iface br1 inet6 static | ||
Ligne 86: | Ligne 86: | ||
bridge_fd 0 | bridge_fd 0 | ||
bridge_stp off | bridge_stp off | ||
- | address | + | address |
netmask 120 | netmask 120 | ||
Ligne 102: | Ligne 102: | ||
bridge_fd 0 | bridge_fd 0 | ||
bridge_stp off | bridge_stp off | ||
- | address ::ffff:c0a8:a01 | + | address |
netmask 120 | netmask 120 | ||
Ligne 149: | Ligne 149: | ||
# Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 : | # Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 : | ||
-A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT | -A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT | ||
+ | # Accepter les connexions VPN WireGuard : | ||
+ | -A INPUT -p udp -m udp --dport 51510 -m conntrack --ctstate NEW -j ACCEPT | ||
# Accepter les requêtes DNS (port 53) depuis les VM : | # Accepter les requêtes DNS (port 53) depuis les VM : | ||
-A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT | -A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT | ||
Ligne 179: | Ligne 181: | ||
# Accepter les paquets redirigés vers des ports particuliers pour le monitoring vers le serveur de monitoring : | # Accepter les paquets redirigés vers des ports particuliers pour le monitoring vers le serveur de monitoring : | ||
-A FORWARD -d 192.168.10.250/ | -A FORWARD -d 192.168.10.250/ | ||
+ | # On accepte les paquets routés du le VPN WireGuard : | ||
+ | -A FORWARD -o wg0 -j ACCEPT | ||
# On bloque TOUT le trafic en provenance de Meta/ | # On bloque TOUT le trafic en provenance de Meta/ | ||
-A INPUT -s 102.132.96.0/ | -A INPUT -s 102.132.96.0/ | ||
Ligne 306: | Ligne 310: | ||
# Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 : | # Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 : | ||
-A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT | -A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT | ||
+ | # Accepter les connexions VPN WireGuard : | ||
+ | -A INPUT -p udp -m udp --dport 51510 -m conntrack --ctstate NEW -j ACCEPT | ||
# Accepter les requêtes DNS (port 53) depuis les VM : | # Accepter les requêtes DNS (port 53) depuis les VM : | ||
-A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT | -A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT |