[Lyon-hackerspace] Installation proxmox sur Kimsufi

red0queen red0queen at red-net.info
Mar 3 Déc 22:29:37 CET 2013


Hmmm, y'a même une version arm... je vais tester cela merci bien !

Le 03/12/2013 12:52, arthur.suzuki at free.fr a écrit :
> Exactement ce que je voulais, merci!!!
>
> Sinon pour remplacer ton pfSense,
> tu peux utiliser IPFire, basé sur Debian et iptables, manageable depuis une beeeeelle interface web.
> voila.
>
> Bonne journée,
> Arthur
>
> ----- Mail original -----
> De: "red0queen" <red0queen at red-net.info>
> À: lyon-hackerspace at lists.hackerspaces.org
> Envoyé: Mardi 3 Décembre 2013 11:28:24
> Objet: Re: [Lyon-hackerspace] Installation proxmox sur Kimsufi
>
> Salut arthur,
>
>     Je me permet de te répondre car j'ai procédé à une install similaire
> il y a quelques semaines (sur un dédié). Le proxmox possède un bridge
> qui fera office d'interface WAN pour un routeur placé en aval, et deux
> autres pour des réseaux internes. J'utilise un pfsense virtualisé avec
> kvm afin de gérer des vpns et le routage/filtrage entre les LANs. Au
> final on a un petit datacenter virtuel qui tourne sur le serveur avec
> des containers openvz qui font tourner leurs services et tout le réseau
> est chapeauté par pfsense.
>
>      Le serveur a quelques règles iptables afin de faire le lien entre
> adresses publiques et les adresses privés utilisés sur pfsense et les vm
> en interne :
> -Pour forwarder les ports de x à y du serveur vers le routeur interne
> pfsense > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport x:y -j
> DNAT --to if-wan-pfsense)
> -Pour masquer le trafic en sortie avec l'IP publique
> iptables -t nat -A POSTROUTING -s "if-wan-pfsense'' -o eth0 -j MASQUERADE
> eth0 étant la seul interface physique du serveur, if-wan-pfsense l'ip
> 'wan' du pfsense (qui est du coup une ip privée)
> -Une autre règle stratégique permet de joindre ton serveur en ssh en cas
> de problème
> iptables -A INPUT -s admin-ip -p tcp --dport ssh-port -j ACCEPT
> admin-ip étant une IP publique depuis laquelle tu administre ton serveur
> (qui sera la seul à pouvoir le joindre) et ssh-port un port x sur le
> serveur sur lequel on a pris soin de faire écouter le daemon ssh en
> modifiant sa config
> Cela n'exclut pas de faire une connexion ssh avec des clef uniquement ;-)
> A noté que tu peu ensuite récupérer l'interface d'admin proxmox avec un
> ou deux tunnels SSH
> ssh -p ssh-port ip-du-serveur -L 12345:127.0.0.1:8006 < te donnera accès
> à l'interface web via ton navigateur à l'adresse https://localhost:12345
> ssh -p ssh-port ip-du-serveur -L 5900:127.0.0.1:5900 < redirige le port
> de vnc pour les accès en console
>
> Après tu peu remplacer pfSense par un container avec une debian et un
> netfilter, voir forwarder tes ports un par un directement avec iptables
> sur proxmox vers tes hotes, mais la sécurité de cette dernière solution
> me paraissait moindre (surtout que je manque d'expérience avec iptables,
> donc je forward tout à pfsense sur lequel je fait un filtrage plus poussé).
>
> Je suis dispo sur IRC si tu veut en discuter.
> ++
>
> Le 03/12/2013 09:54, arthur.suzuki at free.fr a écrit :
>> Salut Mirsal,
>> tu m'avais parlé (y'a un certain temps déjà) de l'installation de ProxMox sur un serveur Kimsufi,
>> et d'une histoire de NAT pour que les VM ai accès au Net,
>> tu aurais des liens/tutos à m'envoyer par rapport à ça?
>>
>> Merci :)
>> Arthur
>> _______________________________________________
>> Lyon-hackerspace mailing list
>> Lyon-hackerspace at lists.hackerspaces.org
>> http://lists.hackerspaces.org/mailman/listinfo/lyon-hackerspace
> _______________________________________________
> Lyon-hackerspace mailing list
> Lyon-hackerspace at lists.hackerspaces.org
> http://lists.hackerspaces.org/mailman/listinfo/lyon-hackerspace
> _______________________________________________
> Lyon-hackerspace mailing list
> Lyon-hackerspace at lists.hackerspaces.org
> http://lists.hackerspaces.org/mailman/listinfo/lyon-hackerspace



Plus d'informations sur la liste de diffusion Lyon-hackerspace