Bloc-notes

Security groups de Scaleway en deny all

Rédigé par Nicolas Sulek Aucun commentaire
Scaleway permet de configurer un pare-feu externe au serveur, mais par défaut, on ne peut que bloquer certaines adresses IP. il n'est pas possible de faire facilement un Deny all pour tous les ports TCP et UDP, car le pare-feu est stateless...
De plus, il faut autoriser certaines adresses de Scaleway sous peine de ne plus voir son serveur démarrer.

Serveurs Scaleway

Il faut notamment autoriser :
  • le serveur TFTP (169.254.42.42) en entrée pour les ports UDP 68 et 69
  • le serveur DNS interne (10.1.94.8) en entrée pour tous les ports UDP et TCP; car nous sommes clients DNS et que le port client est dynamique
  • les serveurs NTP (10.1.31.38 et 10.1.31.39) en entrée pour le port UDP 123

Serveurs externes à Scaleway

Il faut également déclarer les serveurs pour lesquels nous serons clients, par exemple, les miroirs des dépôts de la distribution. Sinon, il ne sera pas possible d'initier des connexions vers l'extérieur.

Pour Debian, on peut déclarer les adresses de security.debian.org et ftp.fr.debian.org :
  • 130.89.148.12
  • 217.196.149.233
  • 195.20.242.89
  • 212.211.132.250
  • 151.101.60.204
en entrée sur tous les ports TCP car nous sommes clients HTTP et le port client est dynamique.

Il faudra penser à déclarer l'ouverture du port pour SSH si on souhaite administrer son serveur par cet intermédiaire.

Deny all

Il ne reste plus qu'à déclarer entrée:
  • drop any tcp
  • drop any udp
  • drop any icmp


A noter que pour que les modifications des security groups soient prises en compte, il faut soit :
  • faire un hard reboot du serveur
  • soit faire un archive et redémarrer le serveur

Les commentaires sont fermés.

Fil RSS des commentaires de cet article