Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tech:hypervisor-01 [29/09/2023 17:57] – [Système d'exploitation] LibertAdmintech:hypervisor-01 [06/11/2023 15:04] (Version actuelle) – [Routage et filtrage avec iptables] LibertAdmin
Ligne 22: Ligne 22:
      * [[tech:mail-01|mail-01]] : Debian stable, services mail Postfix, Dovecot, Amavis, Spamassassin, ClamAV, Sieve (déploiement à venir)      * [[tech:mail-01|mail-01]] : Debian stable, services mail Postfix, Dovecot, Amavis, Spamassassin, ClamAV, Sieve (déploiement à venir)
      * <del>[[tech:proxy-01|proxy-01]] : Debian stable, proxy frontal Nginx et pare-feu iptables, bannissement par Fail2Ban</del> Serveur supprimé le 30 janvier 2022.      * <del>[[tech:proxy-01|proxy-01]] : Debian stable, proxy frontal Nginx et pare-feu iptables, bannissement par Fail2Ban</del> Serveur supprimé le 30 janvier 2022.
-     * [[tech:sql-01|sql-01]] : Debian stable, services MySQL et PostgreSQL+     * [[tech:sql-01|sql-01]] : Debian stable, services MySQLPostgreSQL et Redis
      * <del>[[tech:video-01|video-01]] : Debian stable, Nginx, application Peertube, ffmpeg</del> Serveur supprimé en 2023.      * <del>[[tech:video-01|video-01]] : Debian stable, Nginx, application Peertube, ffmpeg</del> Serveur supprimé en 2023.
      * <del>[[tech:visio-01|visio-01]] : Debian stable, Nginx, application Jitsi Meet</del> Serveur supprimé en 2022.      * <del>[[tech:visio-01|visio-01]] : Debian stable, Nginx, application Jitsi Meet</del> Serveur supprimé en 2022.
Ligne 31: Ligne 31:
 ===== Configuration ===== ===== Configuration =====
 ==== Système d'exploitation ==== ==== Système d'exploitation ====
-Debian stable (Debian 12 « Bookworm ») +  * Debian stable (Debian 12 « Bookworm ») 
-Debian oldstable pour le serveur web-01 (Debian 11 « Bullseye »)+  Debian oldstable pour le serveur web-01 (Debian 11 « Bullseye »)
  
 ==== Adressage IP ==== ==== Adressage IP ====
 Hetzner offre une IP publique. Nous avons modifié l'adressage pour créer 2 réseaux internes : un pour les machines virtuelles et un pour notre administration, puis on bridgé le réseau des VM sur le réseau adressé avec l'IP publique. L'interface enp0trucmachin est devenue br0. La ligne « pre-up » corrige notamment un problème connu d'instabilité de connexion sur la carte réseau de ce serveur. Hetzner offre une IP publique. Nous avons modifié l'adressage pour créer 2 réseaux internes : un pour les machines virtuelles et un pour notre administration, puis on bridgé le réseau des VM sur le réseau adressé avec l'IP publique. L'interface enp0trucmachin est devenue br0. La ligne « pre-up » corrige notamment un problème connu d'instabilité de connexion sur la carte réseau de ce serveur.
  
-L'adressage du réseau d'administration (10.X.X.X) a été masqué pour des raisons de sécurité.+L'adressage du réseau d'administration sur l'interface ''br1'' a été masqué pour des raisons de sécurité.
  
-L'adressage en IPv6 est une adaptation du réseau IPv4 vers IPv6. À terme, il sera judicieux qu'on utilise le réseau /64 qu'Hetzner nous offre, ça fait quand même 2^64 adresses IP disponibles, à savoir 18 446 744 073 709 551 616 adresses !+L'adressage en IPv6 utilise le réseau /64 qu'Hetzner nous offre, ça fait quand même 2^64 adresses IP disponibles, à savoir 18 446 744 073 709 551 616 adresses !
  
 <code> <code>
Ligne 65: Ligne 65:
 iface br0 inet6 static iface br0 inet6 static
  bridge_ports enp0s31f6  bridge_ports enp0s31f6
- bridge_hz enp0s31f6+ bridge_hw enp0s31f6
  bridge_fd 0  bridge_fd 0
  bridge_stp off  bridge_stp off
Ligne 79: Ligne 79:
  bridge_fd 0  bridge_fd 0
  bridge_stp off  bridge_stp off
- address 10.X.Y.Z + address XXX 
- netmask 255.X.Y.Z+ netmask 255.255.255.0
  
 iface br1 inet6 static iface br1 inet6 static
Ligne 86: Ligne 86:
  bridge_fd 0  bridge_fd 0
  bridge_stp off  bridge_stp off
- address ::ffff:a0a:a01+ address XXX
  netmask 120  netmask 120
  
Ligne 102: Ligne 102:
  bridge_fd 0  bridge_fd 0
  bridge_stp off  bridge_stp off
- address ::ffff:c0a8:a01+ address 2a01:4f8:231:aa6::1
  netmask 120  netmask 120
  
Ligne 122: Ligne 122:
  
 <code bash> <code bash>
- 
 *nat *nat
- 
 # Router le trafic Web vers le serveur web : # Router le trafic Web vers le serveur web :
 -A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 80,443 -j DNAT --to-destination 192.168.10.5 -A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 80,443 -j DNAT --to-destination 192.168.10.5
- 
 # Router le mail envoi/réception vers le serveur mail : # Router le mail envoi/réception vers le serveur mail :
 -A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 587,993,25 -j DNAT --to-destination 192.168.10.7 -A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 587,993,25 -j DNAT --to-destination 192.168.10.7
- 
-# Tests 
-## Router les ports des applications vers le serveur web : 
-#-A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 1935,1936,3000,3001,9000,9001 -j DNAT --to-destination 192.168.10.5 
-# 
-## Router le port 5868 vers le serveur audio pour Funkwhale : 
-#-A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 5868 -j DNAT --to-destination 192.168.10.9 
- 
 # Router le 8484 pour Zabbix vers le serveur monitoring : # Router le 8484 pour Zabbix vers le serveur monitoring :
 -A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 8484 -j DNAT --to-destination 192.168.10.250 -A PREROUTING -d 159.69.59.13/32 -p tcp -m tcp --syn -m multiport --dports 8484 -j DNAT --to-destination 192.168.10.250
- 
 # Ne pas appliquer le masquerading sur le broadcast/multicast : # Ne pas appliquer le masquerading sur le broadcast/multicast :
 -A POSTROUTING -s 192.168.10.0/24 -d 224.0.0.0/24 -j RETURN -A POSTROUTING -s 192.168.10.0/24 -d 224.0.0.0/24 -j RETURN
 -A POSTROUTING -s 192.168.10.0/24 -d 255.255.255.255/32 -j RETURN -A POSTROUTING -s 192.168.10.0/24 -d 255.255.255.255/32 -j RETURN
- 
 # Masquerading sur tous les ports dans le sens sortant (VM -> Internet) # Masquerading sur tous les ports dans le sens sortant (VM -> Internet)
 -A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535 -A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
 -A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p udp -j MASQUERADE --to-ports 1024-65535 -A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
 -A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -j MASQUERADE -A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -j MASQUERADE
- 
 COMMIT COMMIT
- 
 *filter *filter
- 
 # Accepter le trafic basique : ICMP, boucle locale et connexions établies, en entrée : # Accepter le trafic basique : ICMP, boucle locale et connexions établies, en entrée :
 -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 -A INPUT -i lo -j ACCEPT -A INPUT -i lo -j ACCEPT
 -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
- 
 # Accepter le SSH : # Accepter le SSH :
 -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 22 -j ACCEPT
 -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 1984 -j ACCEPT -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 1984 -j ACCEPT
- 
 # Accepter les connexions pour le mail : # Accepter les connexions pour le mail :
 -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT
- 
 # Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 : # Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 :
 -A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT -A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT
- 
 # Accepter les requêtes DNS (port 53) depuis les VM : # Accepter les requêtes DNS (port 53) depuis les VM :
 -A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT -A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT
 -A INPUT -i br2 -p tcp -m tcp -m multiport --dports 53 -j ACCEPT -A INPUT -i br2 -p tcp -m tcp -m multiport --dports 53 -j ACCEPT
- 
 # Bloquer les requêtes rpcbind/portmap en entrée ***depuis l'extérieur*** : # Bloquer les requêtes rpcbind/portmap en entrée ***depuis l'extérieur*** :
 -A INPUT -i br2 -p tcp -m multiport --dport 2049 -j ACCEPT -A INPUT -i br2 -p tcp -m multiport --dport 2049 -j ACCEPT
Ligne 179: Ligne 158:
 -A INPUT -p udp --dport 111 -j DROP -A INPUT -p udp --dport 111 -j DROP
 -A INPUT -p tcp --dport 111 -j DROP -A INPUT -p tcp --dport 111 -j DROP
- 
 # Accepter les requêtes Zabbix passives (port 10050) depuis les VM : # Accepter les requêtes Zabbix passives (port 10050) depuis les VM :
 -A INPUT -i br2 -p tcp -m tcp -m multiport --dports 10050 -j ACCEPT -A INPUT -i br2 -p tcp -m tcp -m multiport --dports 10050 -j ACCEPT
- 
 # On refuse les trop nombreux ping : # On refuse les trop nombreux ping :
 -A INPUT -p icmp  --icmp-type 8 -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -j ACCEPT -A INPUT -p icmp  --icmp-type 8 -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -j ACCEPT
 -A INPUT -p icmp -j DROP -A INPUT -p icmp -j DROP
- 
 # On refuse tout le reste : # On refuse tout le reste :
 -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -m conntrack --ctstate INVALID -j DROP
 -A INPUT -p tcp -m tcp -j REJECT --reject-with tcp-reset -A INPUT -p tcp -m tcp -j REJECT --reject-with tcp-reset
 -A INPUT -j REJECT --reject-with icmp-port-unreachable -A INPUT -j REJECT --reject-with icmp-port-unreachable
- 
 # Accepter les connexions établies sur le LAN : # Accepter les connexions établies sur le LAN :
 -A FORWARD -d 192.168.10.0/24 -o br2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 192.168.10.0/24 -o br2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
- 
 # Accepter le trafic sortant depuis le LAN : # Accepter le trafic sortant depuis le LAN :
 -A FORWARD -s 192.168.10.0/24 -i br2 -j ACCEPT -A FORWARD -s 192.168.10.0/24 -i br2 -j ACCEPT
- 
 # Accepter le trafic interne entre les VM : # Accepter le trafic interne entre les VM :
 -A FORWARD -i br2 -o br2 -j ACCEPT -A FORWARD -i br2 -o br2 -j ACCEPT
- 
 # Accepter les paquets redirigés vers des ports particuliers pour le Web vers le serveur web : # Accepter les paquets redirigés vers des ports particuliers pour le Web vers le serveur web :
 -A FORWARD -d 192.168.10.5/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 80,443,8484 -j ACCEPT -A FORWARD -d 192.168.10.5/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 80,443,8484 -j ACCEPT
- 
 # Accepter les paquets redirigés vers des ports particuliers pour le mail vers le serveur mail : # Accepter les paquets redirigés vers des ports particuliers pour le mail vers le serveur mail :
 -A FORWARD -d 192.168.10.7/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT -A FORWARD -d 192.168.10.7/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT
- 
 # Accepter les paquets redirigés vers des ports particuliers pour le monitoring vers le serveur de monitoring : # Accepter les paquets redirigés vers des ports particuliers pour le monitoring vers le serveur de monitoring :
 -A FORWARD -d 192.168.10.250/32 -o br2 -p tcp -m tcp -m conntrack --ctstate NEW -m multiport --dports 8484 -j ACCEPT -A FORWARD -d 192.168.10.250/32 -o br2 -p tcp -m tcp -m conntrack --ctstate NEW -m multiport --dports 8484 -j ACCEPT
- 
-# Tests 
-## Accepter les paquets redirigés vers des ports particuliers vers le serveur web : 
-#-A FORWARD -d 192.168.10.5/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 1935,1936,3000,3001,9000,9001 -j ACCEPT 
-# 
-## Accepter les paquets redirigés vers des ports particuliers pour funkwhale service 5868 vers le serveur audio : 
-#-A FORWARD -d 192.168.10.9/32 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 5868 -j ACCEPT 
- 
 # On bloque TOUT le trafic en provenance de Meta/Facebook/Instagram/Threads : # On bloque TOUT le trafic en provenance de Meta/Facebook/Instagram/Threads :
 -A INPUT -s 102.132.96.0/20 -j DROP -A INPUT -s 102.132.96.0/20 -j DROP
Ligne 326: Ligne 288:
 -A INPUT -s 74.119.76.0/22 -j DROP -A INPUT -s 74.119.76.0/22 -j DROP
 -A INPUT -s 89.223.68.248/32 -j DROP -A INPUT -s 89.223.68.248/32 -j DROP
- 
 # Rejeter tout le reste : # Rejeter tout le reste :
 -A FORWARD -i br2 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -i br2 -j REJECT --reject-with icmp-port-unreachable
 -A FORWARD -o br2 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -o br2 -j REJECT --reject-with icmp-port-unreachable
- 
 COMMIT COMMIT
- 
 </code> </code>
  
Ligne 338: Ligne 297:
  
 <code bash> <code bash>
- +# Accepter le trafic basique : ICMP, boucle locale et connexions établies, en entrée :
-*nat +
- +
-# Router le Web vers le serveur web : +
--A PREROUTING -d 2a01:4f8:231:aa6::13 -p tcp -m tcp --syn -m multiport --dports 80,443 -j DNAT --to-destination ::ffff:c0a8:a05 +
- +
-# Router le mail envoi/réception vers le serveur mail : +
--A PREROUTING -d 2a01:4f8:231:aa6::13 -p tcp -m tcp --syn -m multiport --dports 587,993,25 -j DNAT --to-destination ::ffff:c0a8:a07 +
- +
-# Tests +
-## Router les ports des applications vers le serveur web : +
-#-A PREROUTING -d 2a01:4f8:231:aa6::13 -p tcp -m tcp --syn -m multiport --dports 1935,1936,3000,3001,9000,9001 -j DNAT --to-destination ::ffff:c0a8:a05 +
-+
-## Router le port 5868 pour Funkwhale vers le serveur audio : +
-#-A PREROUTING -d 2a01:4f8:231:aa6::13 -p tcp -m tcp --syn -m multiport --dports 5868 -j DNAT --to-destination ::ffff:c0a8:a09 +
- +
-## Router le 8484 pour Zabbix vers le serveur monitoring (inactif, pas d'IPv6 pour l'instant sur ce serveur) : +
-#-A PREROUTING -d 2a01:4f8:231:aa6::13 -p tcp -m tcp --syn -m multiport --dports 8484 -j DNAT --to-destination ::ffff:c0a8:XYZ +
- +
-# Masquerading sur tous les ports dans le sens sortant (VM -> Internet) +
--A POSTROUTING -s ::ffff:c0a8:a00/64 ! -d ::ffff:c0a8:0a00/64 -p tcp -j MASQUERADE --to-ports 1024-65535 +
--A POSTROUTING -s ::ffff:c0a8:a00/64 ! -d ::ffff:c0a8:0a00/64 -p udp -j MASQUERADE --to-ports 1024-65535 +
--A POSTROUTING -s ::ffff:c0a8:a00/64 ! -d ::ffff:c0a8:0a00/64 -j MASQUERADE +
- +
-COMMIT +
- +
-*filter +
- +
-# Accepter le trafic basique : ICMP, boucle locale et connexionx établies, en entrée :+
 -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 -A INPUT -i lo -j ACCEPT -A INPUT -i lo -j ACCEPT
 -A INPUT ! -i lo -d ::1/128 -j REJECT -A INPUT ! -i lo -d ::1/128 -j REJECT
- 
 # Accepter le SSH : # Accepter le SSH :
 -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 22 -j ACCEPT
 -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 1984 -j ACCEPT -A INPUT -p tcp -m tcp --syn -m conntrack --ctstate NEW --dport 1984 -j ACCEPT
- 
 # Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 : # Accepter le tunnel SSH vers le serveur web-01 sur le port 52365 :
 -A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT -A INPUT -p tcp -m tcp -m conntrack --ctstate NEW --dport 52365 -j ACCEPT
- 
 # Accepter les requêtes DNS (port 53) depuis les VM : # Accepter les requêtes DNS (port 53) depuis les VM :
 -A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT -A INPUT -i br2 -p udp -m udp -m multiport --dports 53 -j ACCEPT
 -A INPUT -i br2 -p tcp -m tcp -m multiport --dports 53 -j ACCEPT -A INPUT -i br2 -p tcp -m tcp -m multiport --dports 53 -j ACCEPT
- 
 # Bloquer les requêtes rpcbind/portmap en entrée ***depuis l'extérieur*** : # Bloquer les requêtes rpcbind/portmap en entrée ***depuis l'extérieur*** :
 -A INPUT -i br2 -p tcp -m multiport --dport 2049 -j ACCEPT -A INPUT -i br2 -p tcp -m multiport --dport 2049 -j ACCEPT
Ligne 388: Ligne 315:
 -A INPUT -p udp --dport 111 -j DROP -A INPUT -p udp --dport 111 -j DROP
 -A INPUT -p tcp --dport 111 -j DROP -A INPUT -p tcp --dport 111 -j DROP
- 
 # Accepter les requêtes Zabbix passives (port 10050) depuis les VM : # Accepter les requêtes Zabbix passives (port 10050) depuis les VM :
 -A INPUT -i br2 -p tcp -m tcp -m multiport --dports 10050 -j ACCEPT -A INPUT -i br2 -p tcp -m tcp -m multiport --dports 10050 -j ACCEPT
- 
 # On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6 : # On accepte l'ICMPv6 indispensable au fonctionnement d'IPv6 :
 -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
Ligne 400: Ligne 325:
 -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT
 -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT
- 
 # On refuse les trop nombreux ping : # On refuse les trop nombreux ping :
 -A INPUT  -p icmpv6 --icmpv6-type echo-request -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -j ACCEPT -A INPUT  -p icmpv6 --icmpv6-type echo-request -m conntrack --ctstate NEW -m limit --limit 1/s --limit-burst 1 -j ACCEPT
 -A INPUT  -p icmpv6 --icmpv6-type echo-request -j DROP -A INPUT  -p icmpv6 --icmpv6-type echo-request -j DROP
- 
 # On refuse tout le reste en entrée : # On refuse tout le reste en entrée :
 -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -m conntrack --ctstate INVALID -j DROP
 -A INPUT -j REJECT -A INPUT -j REJECT
- 
 # Accepter les connexions établies sur le LAN : # Accepter les connexions établies sur le LAN :
--A FORWARD -d ::ffff:c0a8:a00/64 -o br2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT +-A FORWARD -d 2a01:4f8:231:aa6::/64 -o br2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 # Accepter le trafic sortant depuis le LAN : # Accepter le trafic sortant depuis le LAN :
--A FORWARD -s ::ffff:c0a8:a00/64 -i br2 -j ACCEPT +-A FORWARD -s 2a01:4f8:231:aa6::/64 -i br2 -j ACCEPT
 # Accepter le trafic interne entre les VM : # Accepter le trafic interne entre les VM :
 -A FORWARD -i br2 -o br2 -j ACCEPT -A FORWARD -i br2 -o br2 -j ACCEPT
- 
 # Accepter les paquets redirigés vers des ports particuliers pour le Web vers le serveur web : # Accepter les paquets redirigés vers des ports particuliers pour le Web vers le serveur web :
--A FORWARD -d ::ffff:c0a8:a05 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT +-A FORWARD -d 2a01:4f8:231:aa6::5 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT
 # Accepter les paquets redirigés vers des ports particuliers pour le mail vers le serveur mail : # Accepter les paquets redirigés vers des ports particuliers pour le mail vers le serveur mail :
--A FORWARD -d ::ffff:c0a8:a05 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT +-A FORWARD -d 2a01:4f8:231:aa6::7 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 587,993,25 -j ACCEPT 
- +# Accepter les paquets redirigés vers des ports particuliers pour Zabbix tcp 8484 vers le serveur monitoring : 
-# Tests +-A FORWARD -d 2a01:4f8:231:aa6::250 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 8484 -j ACCEPT
-## Accepter les paquets redirigés vers des ports particuliers vers le serveur web : +
-#-A FORWARD -d ::ffff:c0a8:a05 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 1935,1936,3000,3001,9000,9001 -j ACCEPT +
-+
-## Accepter les paquets redirigés vers des ports particuliers pour funkwhale service 5868 vers le serveur audio : +
-#-A FORWARD -d ::ffff:c0a8:a09 -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 5868 -j ACCEPT +
- +
-# Pas d'IPv6 pour le moment, inactif : +
-## Accepter les paquets redirigés vers des ports particuliers pour Zabbix tcp 8484 vers le serveur monitoring : +
-#-A FORWARD -d ::ffff:c0a8:XYZ -o br2 -p tcp -m tcp --syn -m conntrack --ctstate NEW -m multiport --dports 8484 -j ACCEPT +
 # On bloque TOUT le trafic en provenance de Meta/Facebook/Instagram/Threads : # On bloque TOUT le trafic en provenance de Meta/Facebook/Instagram/Threads :
 -A INPUT -s 2620:0:1c00::/40 -j DROP -A INPUT -s 2620:0:1c00::/40 -j DROP
Ligne 470: Ligne 378:
 -A INPUT -s 2c0f:ef78:11::/48 -j DROP -A INPUT -s 2c0f:ef78:11::/48 -j DROP
 -A INPUT -s 2c0f:ef78:12::/48 -j DROP -A INPUT -s 2c0f:ef78:12::/48 -j DROP
- 
 # Rejeter tout le reste : # Rejeter tout le reste :
 -A FORWARD -i br2 -j REJECT -A FORWARD -i br2 -j REJECT
 -A FORWARD -o br2 -j REJECT -A FORWARD -o br2 -j REJECT
- 
 COMMIT COMMIT
- 
 </code> </code>
 ==== Paquets installés ==== ==== Paquets installés ====
tech/hypervisor-01.1696003024.txt.gz · Dernière modification : 29/09/2023 17:57 de LibertAdmin
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International


  • Afficher la page
  • Anciennes révisions
  • Liens de retour
  • Derniers changements
  • Gestionnaire Multimédia
  • Plan du site