Firewall network : règles en sortie du vps ?
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

Firewall network : règles en sortie du vps ?

F
Par
Flowww
Créé le 2022-02-26 18:00:02 (edited on 2024-09-04 11:29:03) dans Serveurs Privés Virtuels (VPS)

Bonjour,

Je viens vers vous car j'ai quelques difficultés à configurer les règles firewall ovh sur mon vps.

Je pense parvenir à créer correctement des règles en INBOUND (voir image pour exemple SSH, HTTP et HTTPS).
En revanche, une fois la connexion SSH établie vers le VPS, je ne parviens pas à sortir sur internet. (Pour MAJ par exemple)

image


Mes questions sont :
- Puis-je configurer des règles en OUTBOUND sur le firewall OVH ?
- Comment faire pour spécifier une IP de destination en sortie sur le firewall (l'ip de destination est d'office celle du VPS)

Merci pour votre aide
Avis positifs (0)
1801 Vues
6 réponses ( Latest reply on 2023-03-18 21:49:21 Par
Flowww
)
J

Bonjour,

sur les dédié normaux le firewall ne filtre que en entrée, pas de filtrage en sortie.

Note : c'est une capture de votre config ou celle de la doc ?

Cordialement, janus57
Utile (0)
F

C'est bien la config qu'on peut voir dans la doc. Elle est quasi identique à celle que j'utilise réellement.

Si le filtrage se fait qu'en entrée, je ne comprends donc pas pourquoi je ne puisse pas faire mes mises à jours et autres.

Je remarque que lorsque le firewall ovh est désactivé, je peux sortir du réseau sans problème.
Une idée ?

Note : Le filtrage firewall interne à la VM est bien désactivé.
Utile (0)
J

Bonjour,

vous avez quoi comme service ?
Quand le firewall est activée vous avez fait les test de base (vérification de la résolution DNS, traceroute etc.) ?
C'est quoi votre config firewall très exactement ?

Cordialement, janus57
Utile (0)
F

Bonjour,
Il n'y a que la règle numéro 4 du screen que je n'ai pas.
C'est un serveur web qui est déployé, rien de bien particulier.
J'avais effectivement bien testé (nslookup, traceroute, etc) avec succès lorsque le firewall OVH **était désactivé**.


J'ai essayé d'ajouter mon serveur DNS en UDP (port 53) en port source sur le firewall OVH et je n'ai plus de problème.

Je pense que la raison est liée au fait que l'UDP (pour le DNS) n'initie pas une connexion comme TCP.
Il faut donc une règle de retour qui permet d'avoir la réponse à la query DNS.

Merci pour l'aide :)
Utile (0)
J

Bonjour,

au passage sachez que ce firewall est uniquement là en bordure de réseau OVH (Cf : https://docs.ovh.com/fr/dedicated/firewall-network/).

Cordialement, janus57
Utile (0)
F

Bonjour,

je me permets de rouvrir le sujet car une question reste de mon côté sans réponse.
https://community.ovh.com/uploads/default/original/3X/0/7/0787f9d844bd53e52802e13ca766d6aa3b06fc1c.jpg

Que signifie très exactement la règle numero 0 de cette image ?
Si cette règle est supprimée, je ne parviens plus à sortir sur internet.

Si le firewall OVH ne filtre pas en sortie comme le dit @janus57, pourquoi cette règle (numero 0) serait-elle nécessaire pour sortir vers internet ?

merci
Utile (0)
J

Bonjour,


Si le firewall OVH ne filtre pas en sortie comme le dit @janus57

c'est pas ce que j'ai dit, j'ai dit que cela filtre juste en bordure de réseau OVH, donc entre ovh <=> internet et pas entre ovh <=> ovh.

Cordialement, janus57
Utile (0)
J

Bonjour,


Si le firewall OVH ne filtre pas en sortie comme le dit @janus57, pourquoi cette règle (numero 0) serait-elle nécessaire pour sortir vers internet ?

et la réponse du site internet, elle rentre comment sans la règle ?

Je rappel la doc :
[code]
Priorité 0 : nous vous conseillons d’autoriser le protocole TCP sur toutes les adresses IP avec une option établie. Celle-ci vous permet de vérifier que le paquet fait partie d’une session précédemment ouverte (déjà initiée). Si vous ne l’autorisez pas, le serveur ne recevra pas les retours du protocole TCP des requêtes SYN/ACK.
[/code]
Cf : https://docs.ovh.com/fr/dedicated/firewall-network/

Je rappel également que du HTTP(S) "normale" c'est du TCP.

Cordialement, janus57
Utile (0)
F

Bonjour,

Je suis peut-être à coté de la plaque mais d'après ma compréhension, pour une session TCP vers un site web, il n'y a pas de port à ouvrir en entré pour recevoir une réponse tant que la session n'est pas fermée.

Si je prends l'exemple de IPtables sous linux sur une machine cliente, il n''y a pas à ouvrir de port en entré pour naviguer sur internet.

Pourquoi dans le cas d'IPtables il n'y a pas besoin et dans le cas du firewall OVH, ça serait le cas ?

Je ne suis pas sur de comprendre.

merci pour votre aide
Utile (0)
J

Bonjour,

la règle n'autorise pas des ports mais le retour d'une connexion lancé par le serveur et qui passe au travers en sortie, donc pour autoriser le retour on doit autoriser les connexion "established".

Et cela est pareil avec iptables, exemple :
[code]
# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[/code]
Source : https://wiki.debian.org/iptables

Cordialement, janus57
Utile (0)
F

Bonjour,

ok ok, je comprends mieux. Ma compréhension de base n'était pas correct.
(je pensais que la regle de retour n'était nécessaire qu'en UDP, car non considérée comme une session comme avec le TCP)
Merci pour l'explication @janus57
Utile (0)

Sujets apparentés

Rejoindre la discussion