Firewall network : règles en sortie du vps ?

Flowww 2022-02-26 18:00:02 UTC #1

Bonjour,

Je viens vers vous car j'ai quelques difficultés à configurer les règles firewall ovh sur mon vps.

Je pense parvenir à créer correctement des règles en INBOUND (voir image pour exemple SSH, HTTP et HTTPS).
En revanche, une fois la connexion SSH établie vers le VPS, je ne parviens pas à sortir sur internet. (Pour MAJ par exemple)

Mes questions sont :
- Puis-je configurer des règles en OUTBOUND sur le firewall OVH ?
- Comment faire pour spécifier une IP de destination en sortie sur le firewall (l'ip de destination est d'office celle du VPS)

Merci pour votre aide

janus57 2022-02-26 18:43:48 UTC #2

Bonjour,

sur les dédié normaux le firewall ne filtre que en entrée, pas de filtrage en sortie.

Note : c'est une capture de votre config ou celle de la doc ?

Cordialement, janus57

Flowww 2022-02-27 01:56:57 UTC #3

C'est bien la config qu'on peut voir dans la doc. Elle est quasi identique à celle que j'utilise réellement.

Si le filtrage se fait qu'en entrée, je ne comprends donc pas pourquoi je ne puisse pas faire mes mises à jours et autres.

Je remarque que lorsque le firewall ovh est désactivé, je peux sortir du réseau sans problème.
Une idée ?

Note : Le filtrage firewall interne à la VM est bien désactivé.

janus57 2022-02-27 09:33:59 UTC #4

Bonjour,

vous avez quoi comme service ?
Quand le firewall est activée vous avez fait les test de base (vérification de la résolution DNS, traceroute etc.) ?
C'est quoi votre config firewall très exactement ?

Cordialement, janus57

Flowww 2022-02-27 22:13:17 UTC #5

Bonjour,
Il n'y a que la règle numéro 4 du screen que je n'ai pas.
C'est un serveur web qui est déployé, rien de bien particulier.
J'avais effectivement bien testé (nslookup, traceroute, etc) avec succès lorsque le firewall OVH était désactivé.

J'ai essayé d'ajouter mon serveur DNS en UDP (port 53) en port source sur le firewall OVH et je n'ai plus de problème.

Je pense que la raison est liée au fait que l'UDP (pour le DNS) n'initie pas une connexion comme TCP.
Il faut donc une règle de retour qui permet d'avoir la réponse à la query DNS.

Merci pour l'aide :)

janus57 2022-02-27 23:31:41 UTC #6

Bonjour,

au passage sachez que ce firewall est uniquement là en bordure de réseau OVH (Cf : https://docs.ovh.com/fr/dedicated/firewall-network/).

Cordialement, janus57

Flowww 2023-03-13 23:40:31 UTC #7

Bonjour,

je me permets de rouvrir le sujet car une question reste de mon côté sans réponse.

Que signifie très exactement la règle numero 0 de cette image ?
Si cette règle est supprimée, je ne parviens plus à sortir sur internet.

Si le firewall OVH ne filtre pas en sortie comme le dit @janus57, pourquoi cette règle (numero 0) serait-elle nécessaire pour sortir vers internet ?

merci

janus57 2023-03-14 04:46:47 UTC #9

Bonjour,

et la réponse du site internet, elle rentre comment sans la règle ?

Je rappel la doc :

Priorité 0 : nous vous conseillons d’autoriser le protocole TCP sur toutes les adresses IP avec une option établie. Celle-ci vous permet de vérifier que le paquet fait partie d’une session précédemment ouverte (déjà initiée). Si vous ne l’autorisez pas, le serveur ne recevra pas les retours du protocole TCP des requêtes SYN/ACK.

Cf : https://docs.ovh.com/fr/dedicated/firewall-network/

Je rappel également que du HTTP(S) "normale" c'est du TCP.

Cordialement, janus57

Flowww 2023-03-14 15:51:08 UTC #10

Bonjour,

Je suis peut-être à coté de la plaque mais d'après ma compréhension, pour une session TCP vers un site web, il n'y a pas de port à ouvrir en entré pour recevoir une réponse tant que la session n'est pas fermée.

Si je prends l'exemple de IPtables sous linux sur une machine cliente, il n''y a pas à ouvrir de port en entré pour naviguer sur internet.

Pourquoi dans le cas d'IPtables il n'y a pas besoin et dans le cas du firewall OVH, ça serait le cas ?

Je ne suis pas sur de comprendre.

merci pour votre aide

janus57 2023-03-14 18:56:17 UTC #11

Bonjour,

la règle n'autorise pas des ports mais le retour d'une connexion lancé par le serveur et qui passe au travers en sortie, donc pour autoriser le retour on doit autoriser les connexion "established".

Et cela est pareil avec iptables, exemple :

# Accepts all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Source : https://wiki.debian.org/iptables

Cordialement, janus57

Flowww 2023-03-18 21:49:21 UTC #12

Bonjour,

ok ok, je comprends mieux. Ma compréhension de base n'était pas correct.
(je pensais que la regle de retour n'était nécessaire qu'en UDP, car non considérée comme une session comme avec le TCP)
Merci pour l'explication @janus57

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.