[Lyon-hackerspace] Installation proxmox sur Kimsufi

arthur.suzuki at free.fr arthur.suzuki at free.fr
Mar 3 Déc 12:52:44 CET 2013


Exactement ce que je voulais, merci!!!

Sinon pour remplacer ton pfSense,
tu peux utiliser IPFire, basé sur Debian et iptables, manageable depuis une beeeeelle interface web.
voila.

Bonne journée,
Arthur

----- Mail original -----
De: "red0queen" <red0queen at red-net.info>
À: lyon-hackerspace at lists.hackerspaces.org
Envoyé: Mardi 3 Décembre 2013 11:28:24
Objet: Re: [Lyon-hackerspace] Installation proxmox sur Kimsufi

Salut arthur,

    Je me permet de te répondre car j'ai procédé à une install similaire
il y a quelques semaines (sur un dédié). Le proxmox possède un bridge
qui fera office d'interface WAN pour un routeur placé en aval, et deux
autres pour des réseaux internes. J'utilise un pfsense virtualisé avec
kvm afin de gérer des vpns et le routage/filtrage entre les LANs. Au
final on a un petit datacenter virtuel qui tourne sur le serveur avec
des containers openvz qui font tourner leurs services et tout le réseau
est chapeauté par pfsense.

     Le serveur a quelques règles iptables afin de faire le lien entre
adresses publiques et les adresses privés utilisés sur pfsense et les vm
en interne :
-Pour forwarder les ports de x à y du serveur vers le routeur interne
pfsense > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport x:y -j
DNAT --to if-wan-pfsense)
-Pour masquer le trafic en sortie avec l'IP publique
iptables -t nat -A POSTROUTING -s "if-wan-pfsense'' -o eth0 -j MASQUERADE
eth0 étant la seul interface physique du serveur, if-wan-pfsense l'ip
'wan' du pfsense (qui est du coup une ip privée)
-Une autre règle stratégique permet de joindre ton serveur en ssh en cas
de problème
iptables -A INPUT -s admin-ip -p tcp --dport ssh-port -j ACCEPT
admin-ip étant une IP publique depuis laquelle tu administre ton serveur
(qui sera la seul à pouvoir le joindre) et ssh-port un port x sur le
serveur sur lequel on a pris soin de faire écouter le daemon ssh en
modifiant sa config
Cela n'exclut pas de faire une connexion ssh avec des clef uniquement ;-)
A noté que tu peu ensuite récupérer l'interface d'admin proxmox avec un
ou deux tunnels SSH
ssh -p ssh-port ip-du-serveur -L 12345:127.0.0.1:8006 < te donnera accès
à l'interface web via ton navigateur à l'adresse https://localhost:12345
ssh -p ssh-port ip-du-serveur -L 5900:127.0.0.1:5900 < redirige le port
de vnc pour les accès en console

Après tu peu remplacer pfSense par un container avec une debian et un
netfilter, voir forwarder tes ports un par un directement avec iptables
sur proxmox vers tes hotes, mais la sécurité de cette dernière solution
me paraissait moindre (surtout que je manque d'expérience avec iptables,
donc je forward tout à pfsense sur lequel je fait un filtrage plus poussé).

Je suis dispo sur IRC si tu veut en discuter.
++

Le 03/12/2013 09:54, arthur.suzuki at free.fr a écrit :
> Salut Mirsal,
> tu m'avais parlé (y'a un certain temps déjà) de l'installation de ProxMox sur un serveur Kimsufi,
> et d'une histoire de NAT pour que les VM ai accès au Net,
> tu aurais des liens/tutos à m'envoyer par rapport à ça?
>
> Merci :)
> Arthur
> _______________________________________________
> Lyon-hackerspace mailing list
> Lyon-hackerspace at lists.hackerspaces.org
> http://lists.hackerspaces.org/mailman/listinfo/lyon-hackerspace

_______________________________________________
Lyon-hackerspace mailing list
Lyon-hackerspace at lists.hackerspaces.org
http://lists.hackerspaces.org/mailman/listinfo/lyon-hackerspace


Plus d'informations sur la liste de diffusion Lyon-hackerspace