Réglage du Firewall OVH

HenriC5 2022-07-02 08:48:11 UTC #1

Mon VPS fait tourner une app accessible par http://xx.xx.xx.xxx:8xxx/

En suivant la doc : https://docs.ovh.com/de/dedicated/firewall-network/images/exemple.png
je crée la 1° et la dernière ligne et entre les 2 règles, une règle Autorise IPv4 avec port de destination 8xxx
(TCP ne m'offre pas la possibilité d'indiquer des ports.)
Et ça bloque l'affichage de la page.

Comment faire pour n'autoriser que le port 8xxx ?

Fritz2cat 2022-07-02 09:04:46 UTC #2

Bonjour,

Ce qu'on appelle ici un firewall ne vous protège aucunement des autres serveurs loués chez OVH et qui hébergent peut-être des clients peu recommandables.
Il se trouve au périmètre des datacentres d'OVH et ça permet surtout de réduire grandement le bruit des sollicitations incessantes et indésirables qui proviennent de l'extérieur.

Vous avez collé une image du guide OVH en version allemande, c'est très bien, mais avez-vous seulement lu ce guide ? Je vous le mets en français, ce sera mieux !

Et là vous apprendrez que vous pouvez spécifier un port, c'est la moindre des choses...
Ensuite il n'est pas superflu de mettre un firewall sur votre VPS lui-même. (avec iptables, ufw, ...)
Attention de ne pas le rendre indisponible à vous même.

J'espère que vous comprenez ce que vous faites.

HenriC5 2022-07-02 09:31:47 UTC #3

Merci beaucoup pour cette réponse détaillée.
Oui, j'avais bien lu la doc en français
(il se trouve que l'image qu'elle contient est en anglais et à une url avec ../de/..)

Je vais essayer votre réponse ...dès que je peux.
En effet, là je suis bloqué parce que je suis allé trop avant.
Car j'ai mis en place des règles iptables, et par erreur, j'ai supprimé la ligne
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Donc, je n'ai plus d'accès SSH,
et comme avant, j'ai supprimé l'accès root par
PermitRootLogin no dans /etc/ssh/sshd_config
vous voyez le tableau !

Pas trop grave dans la mesure où je suis au début du paramétrage de ce VPS.
Je peux le réinitialiser puisque j'ai gardé un verbatim de tout ce que j'ai fait.
Mais, ça m'intéresserait de savoir si dans cette situation, il y aurait un moyen non destructif de s'en sortir sans réinitialiser ?

janus57 2022-07-02 09:34:02 UTC #4

Bonjour,

le mode rescue.

mauvaise idée, car par défaut c'est censé être à "without-password" (ou équivalent) ce qui laisse la connexion root possible, mais uniquement via un système de clés.

Cordialement, janus57

HenriC5 2022-07-02 09:39:19 UTC #5

Ah ! D'accord ! Merci pour les 2 réponses.
Il me semble aussi que c'est une bonne idée de mettre une règle autorisant l'accès depuis mon IP client fixe aussi bien dans le Firewall d'OVH que dans les iptables ?

HenriC5 2022-07-02 10:24:06 UTC #6

Après le rescue, j'ai bien accès au serveur, mais il semble qu'il y a encore un peu de homework à faire.
Par exemple, j'avais un utilisateur postgres : il n'est plus dans la liste des utilisateurs du serveur.
De même, je n'ai plus de dossiers sous /home/debian
C'est normal ?

janus57 2022-07-02 10:33:41 UTC #7

Bonjour,

je vous conseil de lire la documentation du rescue, car c'est l'équivalent d'un liveCD.
Cf : https://docs.ovh.com/fr/vps/mode-rescue-vps/

si votre opérateur vous garanti par contrat votre IP Fixe => cela peut être une bonne idée
Sinon c'est une mauvaise idée dans le sens ou elle est fixe en apparence mais pourra changer dans un futur +/- proche.

Cordialement, janus57

HenriC5 2022-07-02 13:54:23 UTC #8

Merci pour ces conseils bien utiles.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.