[Lyon-hackerspace] Installation proxmox sur Kimsufi

red0queen red0queen at red-net.info
Mar 3 Déc 11:28:24 CET 2013


Salut arthur,

    Je me permet de te répondre car j'ai procédé à une install similaire
il y a quelques semaines (sur un dédié). Le proxmox possède un bridge
qui fera office d'interface WAN pour un routeur placé en aval, et deux
autres pour des réseaux internes. J'utilise un pfsense virtualisé avec
kvm afin de gérer des vpns et le routage/filtrage entre les LANs. Au
final on a un petit datacenter virtuel qui tourne sur le serveur avec
des containers openvz qui font tourner leurs services et tout le réseau
est chapeauté par pfsense.

     Le serveur a quelques règles iptables afin de faire le lien entre
adresses publiques et les adresses privés utilisés sur pfsense et les vm
en interne :
-Pour forwarder les ports de x à y du serveur vers le routeur interne
pfsense > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport x:y -j
DNAT --to if-wan-pfsense)
-Pour masquer le trafic en sortie avec l'IP publique
iptables -t nat -A POSTROUTING -s "if-wan-pfsense'' -o eth0 -j MASQUERADE
eth0 étant la seul interface physique du serveur, if-wan-pfsense l'ip
'wan' du pfsense (qui est du coup une ip privée)
-Une autre règle stratégique permet de joindre ton serveur en ssh en cas
de problème
iptables -A INPUT -s admin-ip -p tcp --dport ssh-port -j ACCEPT
admin-ip étant une IP publique depuis laquelle tu administre ton serveur
(qui sera la seul à pouvoir le joindre) et ssh-port un port x sur le
serveur sur lequel on a pris soin de faire écouter le daemon ssh en
modifiant sa config
Cela n'exclut pas de faire une connexion ssh avec des clef uniquement ;-)
A noté que tu peu ensuite récupérer l'interface d'admin proxmox avec un
ou deux tunnels SSH
ssh -p ssh-port ip-du-serveur -L 12345:127.0.0.1:8006 < te donnera accès
à l'interface web via ton navigateur à l'adresse https://localhost:12345
ssh -p ssh-port ip-du-serveur -L 5900:127.0.0.1:5900 < redirige le port
de vnc pour les accès en console

Après tu peu remplacer pfSense par un container avec une debian et un
netfilter, voir forwarder tes ports un par un directement avec iptables
sur proxmox vers tes hotes, mais la sécurité de cette dernière solution
me paraissait moindre (surtout que je manque d'expérience avec iptables,
donc je forward tout à pfsense sur lequel je fait un filtrage plus poussé).

Je suis dispo sur IRC si tu veut en discuter.
++

Le 03/12/2013 09:54, arthur.suzuki at free.fr a écrit :
> Salut Mirsal,
> tu m'avais parlé (y'a un certain temps déjà) de l'installation de ProxMox sur un serveur Kimsufi,
> et d'une histoire de NAT pour que les VM ai accès au Net,
> tu aurais des liens/tutos à m'envoyer par rapport à ça?
>
> Merci :)
> Arthur
> _______________________________________________
> Lyon-hackerspace mailing list
> Lyon-hackerspace at lists.hackerspaces.org
> http://lists.hackerspaces.org/mailman/listinfo/lyon-hackerspace



Plus d'informations sur la liste de diffusion Lyon-hackerspace