Pare feu et navigation internet perturbée

CyrilB 2021-01-21 10:23:40 UTC #1

Bonjour,
J'ai activé le pare feu OVH sur l'adresse IPV4 d'une instance PublicCLoud.
Voici mon paramétrage :

Lorsque je l'active, je n'arrive pas à accéder à certains sites internet avec mon navigateur, tel que net-entreprise.fr, ou urssaf.fr.
Alors que d'autres site comme google.com fonctionnent.
Sauriez-vous d'où vient le problème de paramétrage ?
Merci.
Cyril

Sich 2021-01-21 18:33:42 UTC #2

essayez d'autoriser l'icmp... pour voir...

CyrilB 2021-01-21 19:39:46 UTC #3

Je viens d'essayer en ajoutant une règle autorisant l'ICMP sur toutes adresses IP.
Même problème.
Bizarrement certains sites internet sont accessibles sans difficultés, et d'autre deviennent injoignable.

Fritz2cat 2021-01-21 20:16:12 UTC #4

packet size ? TTL du traceroute ? packets fragmentés ? difficile de dire.

janus57 2021-01-21 20:26:13 UTC #5

Bonjour,

ou alors des site qui chargent des composants dans le navigateur qui vont allez chercher des informations sur d'autres ports (la question initiale étant vague on ne sais pas si la navigateur est sur le serveur ou ailleurs ni l'os du serveur d'ailleurs mais vu que je vois un 3389 on dirais bien du Windows Server).

Note : perso j'utiliserais pas le pare-feu OVH comme ça car ça fait croire que vous avez de la sécurité mais en faite non. Exemple si depuis un serveur OVH je lance une console RDP sur votre machine bah la restriction dans le firewall OVH est tout simplement bypass car appliqué en bordure de réseau OVH et non en interne…
Sin vous voulez de la sécurité il faut configurer le firewall du serveur ou louer un ASA en frontale (si cela se fait encore).

Cordialement, janus57

ArnaudM18 2021-01-22 07:11:39 UTC #6

Bonjour,

Je me permet d'ajouter qu'OpenStack permet de gerer un firewall au plus pres de l'instance.
Cela se fait, soit au travers d'horizon : https://horizon.cloud.ovh.net/

Soit au travers de l'API, et notamment avec les outils en ligne de commande :

openstack help |grep security
# Exemple pour tout ouvrir (pas de firewall)
openstack security group rule create --ingress --protocol any default
openstack security group rule create --egress  --protocol any default

Bonne journee

CyrilB 2021-01-22 08:01:52 UTC #7

Bonjour et merci,
Je vais effectivement donner un peu plus d'informations. Il s'agit d'un serveur Windows 2012 R2 que nous utilisons en bureau à distance pour travailler. Le navigateur (Firefox ou Chrome) dont la navigation est perturbée en donc lancé depuis ce serveur.

Note : perso j'utiliserais pas le pare-feu Windows comme ça car ça fait croire que vous avez de la sécurité mais en faite non. Exemple si depuis un serveur OVH je lance une console RDP sur votre machine bah la restriction dans le firewall OVH est tout simplement bypass car appliqué en bordure de réseau OVH et non en interne…

Effectivement , je n'avais pas pensé à cette situation de tentatives d'intrusion provenant d'autres instances OVH. Mais actuellement il y a environs 230.000 tentatives/jour de connexion en échec. En plus de la sécurité, mon but est également de libérer ce temps de traitement des connections qui me prend des cycles.

OpenStack permet de gérer un firewall au plus près de l'instance.

Je n'ai jamais utilisé ce produit, mais je vais regarder. Le parfeu OVH avait tout de même l'avantage d'être simple et rapide à mettre en œuvre.

Cyril

Fritz2cat 2021-01-22 08:35:11 UTC #8

Déjà changer le port 3389 par un autre non-standard va éliminer toutes les attaques automatisées. Ca n'augmente pas la sécurité, entendons-nous.

CyrilB 2021-03-17 20:43:59 UTC #9

Bonjour,
Je reviens sur mon soucis de parefeu OVH (paramétrage ci-dessus).
Depuis mon instance (Windows 2012) je souhaite par exemple accéder au site web www.net-entreprise.fr :
Voici le traceroute lorsque le pare-feu est désactivé :

PS C:\Users\Administrator.WIN-18GPQN> tracert www.net-entreprise.Fr
Détermination de l'itinéraire vers www.net-entreprises.Fr [163.172.231.250]
avec un maximum de 30 sauts :
  1    <1 ms    <1 ms    <1 ms  149.202.160.1
  2    <1 ms    <1 ms    <1 ms  192.168.143.254
  3    <1 ms    <1 ms    <1 ms  51.255.242.190
  4    <1 ms    <1 ms    <1 ms  10.97.155.119
  5    <1 ms    <1 ms    <1 ms  be120.gra-d1-a75.fr.eu [37.187.232.74]
  6     1 ms     1 ms     1 ms  10.95.33.8
  7     5 ms     5 ms     5 ms  be102.par-gsw-sbb1-nc5.fr.eu [91.121.215.177]
  8     5 ms     5 ms     5 ms  10.200.2.67
  9     *        *        *     Délai d'attente de la demande dépassé.
 10     5 ms     5 ms     5 ms  62.210.0.164
 11     5 ms     5 ms     5 ms  51.158.8.67
 12     6 ms     5 ms     5 ms  195.154.1.145
 13     5 ms     5 ms     5 ms  163-172-231-250.rev.poneytelecom.eu [163.172.231.250]
Itinéraire déterminé.

Et voici le tracert lorsque le parefeu est activé :

PS C:\Users\Administrator.WIN-18GPQND> tracert www.net-entreprise.Fr
Détermination de l'itinéraire vers www.net-entreprises.Fr [163.172.231.250]
avec un maximum de 30 sauts :
  1    <1 ms    <1 ms    <1 ms  149.202.160.1
  2    <1 ms    <1 ms    <1 ms  192.168.143.254
  3    <1 ms    <1 ms    <1 ms  51.255.242.190
  4    <1 ms    <1 ms    <1 ms  10.97.155.119
  5    <1 ms    <1 ms    <1 ms  be120.gra-d1-a75.fr.eu [37.187.232.74]
  6     *        *        *     Délai d'attente de la demande dépassé.
  7     *        *        *     Délai d'attente de la demande dépassé.
  8     *        *        *     Délai d'attente de la demande dépassé.
  9     *        *        *     Délai d'attente de la demande dépassé.
 10     *        *        *     Délai d'attente de la demande dépassé.
 11     *        *        *     Délai d'attente de la demande dépassé.
 12     *        *        *     Délai d'attente de la demande dépassé.
 13     *        *        *     Délai d'attente de la demande dépassé.
 14     *        *        *     Délai d'attente de la demande dépassé.
 15     *        *        *     Délai d'attente de la demande dépassé.
 16     *        *        *     Délai d'attente de la demande dépassé.
 17     *        *        *     Délai d'attente de la demande dépassé.
 18     *        *        *     Délai d'attente de la demande dépassé.
 19     *        *        *     Délai d'attente de la demande dépassé.
 20     *        *        *     Délai d'attente de la demande dépassé.
 21     *        *        *     Délai d'attente de la demande dépassé.
 22     *        *        *     Délai d'attente de la demande dépassé.
 23     *        *        *     Délai d'attente de la demande dépassé.
 24     *        *        *     Délai d'attente de la demande dépassé.
 25     *        *        *     Délai d'attente de la demande dépassé.
 26     *        *        *     Délai d'attente de la demande dépassé.
 27     *        *        *     Délai d'attente de la demande dépassé.
 28     *        *        *     Délai d'attente de la demande dépassé.
 29     *        *        *     Délai d'attente de la demande dépassé.
 30     *        *        *     Délai d'attente de la demande dépassé.

Le pare-feu est censé bloquer les connexions entrantes. Pourquoi ce blocage sur une connexion sortante ?

Fritz2cat 2021-03-17 21:06:07 UTC #10

Le protocole pour un traceroute est un peu particulier (il n'est d'ailleurs pas le même sous Windows et Linux)
https://www.dummies.com/programming/networking/network-administration-understanding-how-tracert-works/

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.