Aide Conf sprécifique Iptables

Support Debian
#1

Bonjour tous le monde,

Tout d’abord, c’est une première pour moi de poster, alors j’espère que vous serez indulgents si je m’égare.
D’autre part, je tiens à remercier d’avance tout ceux qui vont se pencher sur mon soucis.
Allez je me lance :

J’ai un serveur en ligne, qui est entièrement étanche au net grâce à iptables et l’aide d’un ancien camarade admin sécurité & réseau.
Le serveur sert à faire tourner un Proxmox et de faire de la virtualisation.
Pour configurer le serveur en ligne, je passe par un vpn qui me permet d’atteindre le réseau privé du serveur grâce à de la translation d’adresse en sortie du VPN.

Tout fonctionne bien de cette façon.
Ip du serveur : ne sert à rien car serveur étanche
ip du réseau virtuel interne 172.20.20.128
ip de l’interface du serveur sur le réseau interne : 172.20.20.142
ip de translation entre ma VM et mon réseau interne : 172.20.20.141 (dès que je sors de mon vpn j’ai cette ip qui est mise sur celle du VPN.

Mon envie, que je n’arrive pas à mettre en place :

J’ai un 2ème serveur Proxmox que je souhaite faire communiquer entre eux (les serveur 1 et 2) pour effectuer un cluster (nœud) pour n’avoir plus qu’une seule interface de conf et pourvoir migrer en ligne les CT ou VM.
Je connais ses manip, donc pas besoin de se pencher la dessus.

Le soucis est que les 2 serveurs sont derrière des VPN sur des CT et que les ip des serveurs n’arrivent pas à se joindre donc pas de cluster.

Je sais que lorsque je lève le pare-feu j’arrive à pinger mais le serveur devient visible sur le net (pas bien).

Ma question est comment faire pour permettre de remonter via mon vpn

OU

comment configurer mon iptables pour n’ouvrir que le VPN sur ne net du serveur.

config serveur 1 :

IPTABLES :

*mangle
:stuck_out_tongue:REROUTING ACCEPT [12965667136:12460862266821]
:INPUT ACCEPT [21592567:11332985795]
:FORWARD ACCEPT [12942794162:12449389927995]
:OUTPUT ACCEPT [21953501:14955921304]
:stuck_out_tongue:OSTROUTING ACCEPT [12933918433:12462186071337]
COMMIT

Completed on Sun Aug 9 08:42:48 2015

Generated by iptables-save v1.4.14 on Sun Aug 9 08:42:48 2015

*nat
:stuck_out_tongue:REROUTING ACCEPT [148496447:11683555452]
:stuck_out_tongue:OSTROUTING ACCEPT [118235285:10574063982]
:OUTPUT ACCEPT [4051130:1261307519]
COMMIT

Completed on Sun Aug 9 08:42:48 2015

Generated by iptables-save v1.4.14 on Sun Aug 9 08:42:48 2015

*filter
:INPUT DROP [246843]
:FORWARD DROP [26849945:902875251]
:OUTPUT DROP [3979245:1256900039]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
-A INPUT -p tcp -i vmbr0 --dport ssh -j ACCEPT
-A INPUT -i vmbr1 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmbr1 -p tcp -m tcp --dport 10000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmbr2 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 25 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 3690 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmbr1 -p tcp -m tcp --dport 8006 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmbr2 -p tcp -m tcp --dport 8006 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmbr1 -p tcp -m tcp --dport 5900:5910 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i vmbr2 -p tcp -m tcp --dport 5900:5910 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i vmbr0 -o venet0 -j ACCEPT
-A FORWARD -i venet0 -o vmbr0 -j ACCEPT
-A FORWARD -i venet0 -o venet0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -o eth0 --dport ssh -j ACCEPT
-A OUTPUT -p tcp -o vmbr0 --dport ssh -j ACCEPT
-A OUTPUT -o vmbr1 -p tcp -m tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o vmbr1 -p tcp -m tcp --sport 10000 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o vmbr2 -p tcp -m tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 3690 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o vmbr1 -p tcp -m tcp --sport 8006 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o vmbr2 -p tcp -m tcp --sport 8006 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o vmbr1 -p tcp -m tcp --sport 5900:5910 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o vmbr2 -p tcp -m tcp --sport 5900:5910 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Interface réseau :
auto lo
iface lo inet loopback

iface eth0 inet manual

iface eth1 inet manual

auto vmbr0
iface vmbr0 inet static
address 5.FF.FF.FFF = Ip public du serveur (étanche grace au parfeu)
netmask 255.255.255.0
gateway 5.GG.DD.254
broadcast 5.FF.GG.255
bridge_ports eth0
bridge_stp off
bridge_fd 0
network 5.WWWW.WWW.0

auto vmbr1
iface vmbr1 inet static
address 172.20.20.142
netmask 255.255.255.240
bridge_ports dummy1
bridge_stp off
bridge_fd 0
post-up /etc/pve/kvm-networking.sh

Route serveur 1
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
10.10.0.1 10.10.0.13 255.255.255.255 UGH 0 0 0 tun0
10.10.0.13 * 255.255.255.255 UH 0 0 0 tun0
172.20.20.128 * 255.255.255.240 U 0 0 0 vmbr1
IP Public * 255.255.255.0 U 0 0 0 vmbr0
192.168.1.0 10.10.0.13 255.255.255.0 UG 0 0 0 tun0
default XXXXXXXXXXX 0.0.0.0 UG 0 0 0 vmbr0

Conf VM VPN sur serveur 1 :

conf Iptables :

*nat
:stuck_out_tongue:REROUTING ACCEPT [15:488]
:stuck_out_tongue:OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.20.0.1/32 -j SNAT --to-source 172.20.20.141
-A POSTROUTING -d 172.20.20.128/28 -j SNAT --to-source 172.20.20.141
-A POSTROUTING -s 172.20.20.128/28 -j MASQUERADE
COMMIT

Completed on Mon Oct 19 16:56:03 2015

Generated by iptables-save v1.4.21 on Mon Oct 19 16:56:03 2015

*mangle
:stuck_out_tongue:REROUTING ACCEPT [203:25336]
:INPUT ACCEPT [203:25336]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [205:26376]
:stuck_out_tongue:OSTROUTING ACCEPT [205:26376]
COMMIT

Completed on Mon Oct 19 16:56:03 2015

Generated by iptables-save v1.4.21 on Mon Oct 19 16:56:03 2015

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i tun0 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.20.0.0/24 -i tun0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o venet0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -o tun0 -p tcp -m tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Conf réseau VM sur serveur 1:

Auto generated lo interface

auto lo
iface lo inet loopback

Auto generated venet0 interface

auto venet0
iface venet0 inet manual
up ifconfig venet0 up
up ifconfig venet0 127.0.0.2
up route add default dev venet0
down route del default dev venet0
down ifconfig venet0 down

iface venet0 inet6 manual
up route -A inet6 add default dev venet0
down route -A inet6 del default dev venet0

auto eth0
iface eth0 inet static
address 172.20.20.141
netmask 255.255.255.240
pre-up iptables-restore < /etc/iptables.rules
auto venet0:0
iface venet0:0 inet static
address 5.135.XXX.WWW
netmask 255.255.255.255

Route VM VPN sur serveur 1 :

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.20.0.2 * 255.255.255.255 UH 0 0 0 tun0
172.20.20.128 * 255.255.255.240 U 0 0 0 eth0
10.20.0.0 10.20.0.2 255.255.255.0 UG 0 0 0 tun0
default * 0.0.0.0 U 0 0 0 venet0

Conf réseau VPN :
IP du VPN : 10.20.0.0 255.255.255.0
push route 172.20.20.128 255.255.255.240

VOILA VOILA

Je répéte ce que je cherche faire :
Faire en sorte que les 2 serveurs se ping :

Soit avec une conf pour ouvrir un VPN sur le serveur 1 en direct
Soit avec une route
Soit … (merci pour vos autres solutions)

IMPÉRATIF : garder le serveur étanche au maximum

Merci encore pour vos solutions et si vous avez besoin de plus de renseignements n’hésitez pas.

Je pose un schéma

#2

Re,

Je pensais sinon faire ça, mais je ne trouve pas cela très propre?!

Qu’en pensez-vous?

Utiliser 2 VPN pour communiquer en les 2 serveurs ? je ne suis pas sûr que cela soit le plus recommandé?!

Merci encore pour votre aide.

je joins un schéma.