Diverses questions serveur Virtualisation

sir_siegfrieds · Novembre 11, 2019, 8:12pm

Bonjour a tous,

je suis tellement plus venu sur ce forum que je me reconcidère a nouveau comme novice ( que j’ai toujours été ) mais aussi comme nouveau sur ce forum.

Mais le temps est venu pour moi de me relancer plus en profondeur dans la gestion de mon domicile a l’aide des machine virtuelle.

Je vous explique mes ambitions, mes envies, mon questionnement.
Je n’attend pas de réponse de votre part mais plus du guidage pour comprendre ce que je fais.

Je suis actuellement sur un début de serveur privé a base de Nuc ( car oui il faut bien démarré de quelques chose ) a voir si dans le temps cela me suffit ou si je dois en changer pour une solution plus robuste.

Actuellement je fonctionne sous Proxmox PVE 6 et j’avais installé un peu naivement des VM sans utilser de Fail2ban ou quoi que ce soit.
Cela fonctionnait très bien jusqu’a ce que ma machine plante complètement et que je ne me rende compte que quand les auth.log y’avais une multitude de tentative de connection en mode root venant essentiellement de chine, ou de russie.

Voici donc le choix de l’infrastructure que je souhaite pour l’instant.
Je ne sais pas si c’est le bon choix.

Proxmox avec Fail2Ban
VM Jeedom
Vm PlexMediaServer
VM Ubuntu
VM Pfsense ( j’ai suivit un tuto sur le net, mais je suis coincé a un certains stade si une ame charitable sait comment me débloquer ce serait cool )
VM SeedBox
VM Ftp
VM Pihole

Le but étant d’isoler complètement mon server du net, en utiliser des connections de ponts un peu comme avec un routeur.
Et d’avoir un Pihole, non filtrée comme server Dns pour tous les appareils de la maison.

Je vous colle la page du tutorial que je suis pour installer PfSense, c’est la partie blocante pour moi.

https://blog.zwindler.fr/2017/07/18/dep … ie-part-2/

Je suis bloqué a la création du script iptables.sh
J’ai l’impression de bien le créer avec vi j’ai rajouté l’ip qui est en xxx.xxx.xxx en mettant la passerelle de mon routeur physique
car je pense que c’est lui qui doit être concerné par la commande.

( Jeedom c’est bon je sais faire, Idem pour PlexMediaServer etc … )

Ma question idiote mais que je vais quand même posé, c’est comment rendre tous cela accessible pour moi et seulement moi sur le net ensuite ?
Car j’aimerai quand même pouvoir administrer mon Jeedom de l’extérieur ( Camera, Alarme, Domotique ), ainsi qu’accéder a mon server Plex sur mon gsm.

Ma seconde question idiote, n’y a t’il pas un moyen de faire une image de recupération d’un hyperV comme proxmox ( sans parler des vms, celles-ci sont liées a un qnap présent sur le réseau et fonctionne superbement bien )

Je suis un peu coincé car une fois que je bloque sur un tuto, ou une tentative de compréhension de proxmox et que cela foire, je suis obligé de tout recommencer depuis le débuts. Alors qu’une possible de faire une image, ou au moins save les configurations pour les restaurer serait juste géniale.

Désolé c’est un peu brouillon, mais je tatonne et j’apprend du moins j’'essaie

Merci encore pour votre aide et votre lecture.

A bientot j’espere

sir_siegfrieds · Novembre 10, 2019, 1:56pm

Rebonjour,

Je vais me lancer dans la réinstallation, une énième fois du serveur proxmox. Voir si c’est moi qui n’est pas bien suivit les étapes.
Si quelqu’un sait m’aider pour l’étape sur laquelle je bloque ce serais sympa.

Bonne journée !!!

sir_siegfrieds · Novembre 11, 2019, 3:19pm

#!/bin/sh

	# ---------
	# VARIABLES
	# ---------

## Proxmox bridge holding Public IP
PrxPubVBR="vmbr0"
## Proxmox bridge on VmWanNET (PFSense WAN side) 
PrxVmWanVBR="vmbr1"
## Proxmox bridge on PrivNET (PFSense LAN side) 
PrxVmPrivVBR="vmbr2"

## Network/Mask of VmWanNET
VmWanNET="10.0.0.0/30"
## Network/Mmask of PrivNET
PrivNET="192.168.9.0/24"
## Network/Mmask of VpnNET
VpnNET="10.2.2.0/24"

## Public IP => Set your own
PublicIP="xx.xx.xx.xx"
## Proxmox IP on the same network than PFSense WAN (VmWanNET)
ProxVmWanIP="10.0.0.1"
## Proxmox IP on the same network than VMs
ProxVmPrivIP="192.168.9.1"
## PFSense IP used by the firewall (inside VM)
PfsVmWanIP="10.0.0.2"


	# ---------------------
	# CLEAN ALL & DROP IPV6
	# ---------------------

### Delete all existing rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
### This policy does not handle IPv6 traffic except to drop it.
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
	
	# --------------
	# DEFAULT POLICY
	# --------------

### Block ALL !
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

	# ------
	# CHAINS
	# ------

### Creating chains
iptables -N TCP
iptables -N UDP

# UDP = ACCEPT / SEND TO THIS CHAIN
iptables -A INPUT -p udp -m conntrack --ctstate NEW -j UDP
# TCP = ACCEPT / SEND TO THIS CHAIN
iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP

	# ------------
	# GLOBAL RULES
	# ------------

# Allow localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Don't break the current/active connections
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Allow Ping - Comment this to return timeout to ping request
iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

	# --------------------
	# RULES FOR PrxPubVBR
	# --------------------

### INPUT RULES
# ---------------

# Allow SSH server
iptables -A TCP -i $PrxPubVBR -d $PublicIP -p tcp --dport 22 -j ACCEPT
# Allow Proxmox WebUI
iptables -A TCP -i $PrxPubVBR -d $PublicIP -p tcp --dport 8006 -j ACCEPT

### OUTPUT RULES
# ---------------

# Allow ping out
iptables -A OUTPUT -p icmp -j ACCEPT

### Allow LAN to access internet
iptables -A OUTPUT -o $PrxPubVBR -s $PfsVmWanIP -d $PublicIP -j ACCEPT

### Proxmox Host as CLIENT
# Allow SSH
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --dport 22 -j ACCEPT
# Allow DNS
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p udp --dport 53 -j ACCEPT
# Allow Whois
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --dport 43 -j ACCEPT
# Allow HTTP/HTTPS
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --dport 443 -j ACCEPT

### Proxmox Host as SERVER
# Allow SSH 
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --sport 22 -j ACCEPT
# Allow PROXMOX WebUI 
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --sport 8006 -j ACCEPT

### FORWARD RULES
# ----------------

# Allow request forwarding to PFSense WAN interface
iptables -A FORWARD -i $PrxPubVBR -d $PfsVmWanIP -o $PrxVmWanVBR -p tcp -j ACCEPT
iptables -A FORWARD -i $PrxPubVBR -d $PfsVmWanIP -o $PrxVmWanVBR -p udp -j ACCEPT

# Allow request forwarding from LAN
iptables -A FORWARD -i $PrxVmWanVBR -s $VmWanNET -j ACCEPT

### MASQUERADE MANDATORY
# Allow WAN network (PFSense) to use vmbr0 public adress to go out
iptables -t nat -A POSTROUTING -s $VmWanNET -o $PrxPubVBR -j MASQUERADE

### Redirect (NAT) traffic from internet 
# All tcp to PFSense WAN except 22, 8006
iptables -A PREROUTING -t nat -i $PrxPubVBR -p tcp --match multiport ! --dports 22,8006 -j DNAT --to $PfsVmWanIP
# All udp to PFSense WAN
iptables -A PREROUTING -t nat -i $PrxPubVBR -p udp -j DNAT --to $PfsVmWanIP

	# ----------------------
	# RULES FOR PrxVmWanVBR 
	# ----------------------

### INPUT RULES
# ---------------

# SSH (Server)
iptables -A TCP -i $PrxVmWanVBR -d $ProxVmWanIP -p tcp --dport 22 -j ACCEPT

# Proxmox WebUI (Server)
iptables -A TCP -i $PrxVmWanVBR -d $ProxVmWanIP -p tcp --dport 8006 -j ACCEPT

### OUTPUT RULES
# ---------------

# Allow SSH server
iptables -A OUTPUT -o $PrxVmWanVBR -s $ProxVmWanIP -p tcp --sport 22 -j ACCEPT
# Allow PROXMOX WebUI on Public Interface from Internet
iptables -A OUTPUT -o $PrxVmWanVBR -s $ProxVmWanIP -p tcp --sport 8006 -j ACCEPT

	# -----------------------
	# RULES FOR PrxVmPrivVBR
	# -----------------------

# NO RULES => All blocked !!!

Ci dessus le code que je n’arrive pas a exécuter pour continuer la config de pfsense …
Une idée ?