Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 11-11-2019 20:25:20

sir_siegfrieds
Membre
Inscription : 11-11-2019

Proxmox, et PfSense

Bonjour a tous,

je suis tellement plus venu sur ce forum que je me reconcidère a nouveau comme novice ( que j’ai toujours été ) mais aussi comme nouveau sur ce forum. ( D'ailleurs j'ai perdu mon compte )

Mais le temps est venu pour moi de me relancer plus en profondeur dans la gestion de mon domicile a l’aide des machine virtuelle.

Je vous explique mes ambitions, mes envies, mon questionnement.
Je n’attend pas de réponse de votre part mais plus du guidage pour comprendre ce que je fais.

Je suis actuellement sur un début de serveur privé a base de Nuc ( car oui il faut bien démarré de quelques chose ) a voir si dans le temps cela me suffit ou si je dois en changer pour une solution plus robuste.

Actuellement je fonctionne sous Proxmox PVE 6 et j’avais installé un peu naivement des VM sans utilser de Fail2ban ou quoi que ce soit.
Cela fonctionnait très bien jusqu’a ce que ma machine plante complètement et que je ne me rende compte que quand les auth.log y’avais une multitude de tentative de connection en mode root venant essentiellement de chine, ou de russie.

Voici donc le choix de l’infrastructure que je souhaite pour l’instant.
Je ne sais pas si c’est le bon choix.

Proxmox avec Fail2Ban
VM Jeedom
Vm PlexMediaServer
VM Ubuntu
VM Pfsense ( j’ai suivit un tuto sur le net, mais je suis coincé a un certains stade si une ame charitable sait comment me débloquer ce serait cool )
VM SeedBox
VM Ftp
VM Pihole

Le but étant d’isoler complètement mon server du net, en utiliser des connections de ponts un peu comme avec un routeur.
Et d’avoir un Pihole, non filtrée comme server Dns pour tous les appareils de la maison.

Je vous colle la page du tutorial que je suis pour installer PfSense, c’est la partie blocante pour moi.

https://blog.zwindler.fr/2017/07/18/dep … ie-part-2/

Je suis bloqué a la création du script iptables.sh


J’ai l’impression de bien le créer avec vi j’ai rajouté l’ip qui est en xxx.xxx.xxx en mettant la passerelle de mon routeur physique
car je pense que c’est lui qui doit être concerné par la commande.

D'ailleurs j'ai cru voir un topic sur Nftables, ne devrais pas directement le faire sur type de filtrage ?

( Jeedom c’est bon je sais faire, Idem pour PlexMediaServer etc … )

Ma question idiote mais que je vais quand même posé, c’est comment rendre tous cela accessible pour moi et seulement moi sur le net ensuite ?
Car j’aimerai quand même pouvoir administrer mon Jeedom de l’extérieur ( Camera, Alarme, Domotique ), ainsi qu’accéder a mon server Plex sur mon gsm.

Ma seconde question idiote, n’y a t’il pas un moyen de faire une image de recupération d’un hyperV comme proxmox ( sans parler des vms, celles-ci sont liées a un qnap présent sur le réseau et fonctionne superbement bien )

Je suis un peu coincé car une fois que je bloque sur un tuto, ou une tentative de compréhension de proxmox et que cela foire, je suis obligé de tout recommencer depuis le débuts. Alors qu’une possible de faire une image, ou au moins save les configurations pour les restaurer serait juste géniale.

Désolé c’est un peu brouillon, mais je tatonne et j’apprend du moins j’'essaie smile

Merci encore pour votre aide et votre lecture.

A bientot j’espere smile

Dernière modification par sir_siegfrieds (13-11-2019 18:32:39)

Hors ligne

#2 13-11-2019 18:32:07

sir_siegfrieds
Membre
Inscription : 11-11-2019

Re : Proxmox, et PfSense

N'y a t'il personne qui utilise PfSense ?

Cette méthode est elle obsolète ?

J'ai réellement besoin d'une solution pérenne de VPN, pour l'accès extérieurs de mes données.
Et lancer la partie domotique en production de mon domicile ( Madame me fait les gros yeux en voyant les cartons de capteurs non installé :X )

Je cherche aussi comment rendre tous ceci accessible facilement pour moi via un nom de domaine via OVH.
Mais cela se fera dans un second temps.

Voici pour infos la partie que je n'arrive pas a faire fonctionner,

#!/bin/sh

  # ---------
  # VARIABLES
  # ---------

## Proxmox bridge holding Public IP
PrxPubVBR="vmbr0"
## Proxmox bridge on VmWanNET (PFSense WAN side)
PrxVmWanVBR="vmbr1"
## Proxmox bridge on PrivNET (PFSense LAN side)
PrxVmPrivVBR="vmbr2"

## Network/Mask of VmWanNET
VmWanNET="10.0.0.0/30"
## Network/Mmask of PrivNET
PrivNET="192.168.9.0/24"
## Network/Mmask of VpnNET
VpnNET="10.2.2.0/24"

## Public IP => Set your own
PublicIP="xx.xx.xx.xx"
## Proxmox IP on the same network than PFSense WAN (VmWanNET)
ProxVmWanIP="10.0.0.1"
## Proxmox IP on the same network than VMs
ProxVmPrivIP="192.168.9.1"
## PFSense IP used by the firewall (inside VM)
PfsVmWanIP="10.0.0.2"


  # ---------------------
  # CLEAN ALL & DROP IPV6
  # ---------------------

### Delete all existing rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
### This policy does not handle IPv6 traffic except to drop it.
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
 
  # --------------
  # DEFAULT POLICY
  # --------------

### Block ALL !
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

  # ------
  # CHAINS
  # ------

### Creating chains
iptables -N TCP
iptables -N UDP

# UDP = ACCEPT / SEND TO THIS CHAIN
iptables -A INPUT -p udp -m conntrack --ctstate NEW -j UDP
# TCP = ACCEPT / SEND TO THIS CHAIN
iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP

  # ------------
  # GLOBAL RULES
  # ------------

# Allow localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Don't break the current/active connections
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Allow Ping - Comment this to return timeout to ping request
iptables -A INPUT -p icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT

  # --------------------
  # RULES FOR PrxPubVBR
  # --------------------

### INPUT RULES
# ---------------

# Allow SSH server
iptables -A TCP -i $PrxPubVBR -d $PublicIP -p tcp --dport 22 -j ACCEPT
# Allow Proxmox WebUI
iptables -A TCP -i $PrxPubVBR -d $PublicIP -p tcp --dport 8006 -j ACCEPT

### OUTPUT RULES
# ---------------

# Allow ping out
iptables -A OUTPUT -p icmp -j ACCEPT

### Allow LAN to access internet
iptables -A OUTPUT -o $PrxPubVBR -s $PfsVmWanIP -d $PublicIP -j ACCEPT

### Proxmox Host as CLIENT
# Allow SSH
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --dport 22 -j ACCEPT
# Allow DNS
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p udp --dport 53 -j ACCEPT
# Allow Whois
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --dport 43 -j ACCEPT
# Allow HTTP/HTTPS
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --dport 443 -j ACCEPT

### Proxmox Host as SERVER
# Allow SSH
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --sport 22 -j ACCEPT
# Allow PROXMOX WebUI
iptables -A OUTPUT -o $PrxPubVBR -s $PublicIP -p tcp --sport 8006 -j ACCEPT

### FORWARD RULES
# ----------------

# Allow request forwarding to PFSense WAN interface
iptables -A FORWARD -i $PrxPubVBR -d $PfsVmWanIP -o $PrxVmWanVBR -p tcp -j ACCEPT
iptables -A FORWARD -i $PrxPubVBR -d $PfsVmWanIP -o $PrxVmWanVBR -p udp -j ACCEPT

# Allow request forwarding from LAN
iptables -A FORWARD -i $PrxVmWanVBR -s $VmWanNET -j ACCEPT

### MASQUERADE MANDATORY
# Allow WAN network (PFSense) to use vmbr0 public adress to go out
iptables -t nat -A POSTROUTING -s $VmWanNET -o $PrxPubVBR -j MASQUERADE

### Redirect (NAT) traffic from internet
# All tcp to PFSense WAN except 22, 8006
iptables -A PREROUTING -t nat -i $PrxPubVBR -p tcp --match multiport ! --dports 22,8006 -j DNAT --to $PfsVmWanIP
# All udp to PFSense WAN
iptables -A PREROUTING -t nat -i $PrxPubVBR -p udp -j DNAT --to $PfsVmWanIP

  # ----------------------
  # RULES FOR PrxVmWanVBR
  # ----------------------

### INPUT RULES
# ---------------

# SSH (Server)
iptables -A TCP -i $PrxVmWanVBR -d $ProxVmWanIP -p tcp --dport 22 -j ACCEPT

# Proxmox WebUI (Server)
iptables -A TCP -i $PrxVmWanVBR -d $ProxVmWanIP -p tcp --dport 8006 -j ACCEPT

### OUTPUT RULES
# ---------------

# Allow SSH server
iptables -A OUTPUT -o $PrxVmWanVBR -s $ProxVmWanIP -p tcp --sport 22 -j ACCEPT
# Allow PROXMOX WebUI on Public Interface from Internet
iptables -A OUTPUT -o $PrxVmWanVBR -s $ProxVmWanIP -p tcp --sport 8006 -j ACCEPT

  # -----------------------
  # RULES FOR PrxVmPrivVBR
  # -----------------------

# NO RULES => All blocked !!!



J'utilise déja : Fail2Ban en pour l'accès "root" du node proxmox

Si vous avez ne serais-ce qu'une page a me conseiller pour comprendre mes erreurs meme si celle-ci est en anglais

Je prend

Merci de l'aide, ou du moins de votre attention.

Ps: J'avais mis un liens erroné dans le topic précedent --'

Dernière modification par sir_siegfrieds (13-11-2019 18:33:23)

Hors ligne

#3 13-11-2019 22:28:58

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : Proxmox, et PfSense

Tu es sur un system linux particulier et non en rapport avec debian, c'est pas qu'on veux pas t'aider c'est qu'on ne connait pas forcement les autre machine/os.

Proxmox avec Fail2Ban
VM Jeedom
Vm PlexMediaServer
VM Ubuntu
VM Pfsense ( j’ai suivit un tuto sur le net, mais je suis coincé a un certains stade si une ame charitable sait comment me débloquer ce serait cool )
VM SeedBox
VM Ftp
VM Pihole



tu peux peut être regarder sur d'autre forum qui on ta distribution Hote qui pourrons mieux t'aider


Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#4 13-11-2019 22:37:01

sir_siegfrieds
Membre
Inscription : 11-11-2019

Re : Proxmox, et PfSense

Ah c'est sympa ta réponse smile,

qu'au moins j'ai une piste. Je ne trouve pas forcément d'aide ailleurs.
Proxmox est basé sous debian, le forum ubuntu m'a redirigé ici ( qui est elle aussi basée sur Debian )

Pour tout ce qui est des VM je pense pouvoir me débrouillé. C'est juste la configuration de Pfsense qui me pose problème.
J'ai cru voir que Nftable allait remplacer iptables, peut-être que je devrais me pencher sur celle-ci.

En ce qui concerne le script, je le fait en "live" avec la commande vi.
Mais on dirait qu'il y a des erreurs, je pensais que les commandes c’était plus ou moins universel sur les debian.
En fait il semble que l'iptable ne s’exécute pas, et du coup je ne peux continuer la configuration
De plus, la vm ubuntu qui étaient juste installée pour la config graphique de pfsense semble Hs depuis l’exécution du script.

Du coup j'en perd mon latin, sur le forum officiel de proxmox :
ils ne savent que me conseillé d'utiliser seulement fail2ban.

J'me retrouve en bas de ma montagne, sans trouvé la première prise.
Merci quand même de ta réponse, j'essaie de chercher des infos par-ci par-la smile

Hors ligne

#5 14-11-2019 22:48:46

LaFouine
Membre
Distrib. : Debian testing
Noyau : 4.19.0-4-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : Proxmox, et PfSense

Quand une distribution est modifiée il faut quand même la connaitre, pour iptables c'est pas ça qui manque,
tu a bien sur un tutoriel sur DF, personnellement j'ai bien la traduction faite et les explication sur ce site
https://www.inetdoc.net/guides/iptables-tutorial/

nftables  j'ai regarder et les module que j'utilise ne son pas encore présent donc je continue avec iptables smile

fail2ban a besoins d'iptables et d'être configurer

Debian testing, nvidia 980 gtx sli, cm asurock 16 gb ram cpu i7 4,2 ghz

Hors ligne

#6 16-11-2019 14:57:13

sir_siegfrieds
Membre
Inscription : 11-11-2019

Re : Proxmox, et PfSense

Merci de tes informations,

Je pense aller jeter un oeil sur ce que tu m'as donné.
Mais n'est ce pas bizarre que la VM que j'ai installé, en utilisant les commande précisée dans le tuto ,qui ne sers juste
a avoir l'acces graphique et pouvoir modifier les droits de pfsense soit Hs ?
Elle ne se lance plus, apres le boot c'est écran noir.

Bref, je pense faire la réinstallation après avoir lu ce que tu m'as transmis.

Comment vous vous y prenez vous, pour tester des fonctionnalité tel que iptables, et un service comme pfsense sans avoir a tout recommencer depuis le début a chaque fois ?

Merci d'avance

Hors ligne

#7 30-11-2019 10:07:56

sir_siegfrieds
Membre
Inscription : 11-11-2019

Re : Proxmox, et PfSense

Bon ben écoutez j'y arrive vraiment pas :\

Je comprend pas ce qui ne fonctionne pas et j'arrive pas a le configuré correctement c'est assez déroutant.

Je tourne en boucle pour la configuration. Faut que je trouve un moyen de faire une image de l'installation fonctionnelle. Et ensuite retest plusieurs fois.

Car au final, y'a quelques choses qui bloque et fait planté le superviseur et j'arrive plus a rien faire ensuiite...

Hors ligne

#8 30-11-2019 12:55:57

infothema
Modérateur
Lieu : Bégard (Côtes d'Armor)
Distrib. : 9 (stretch) 64 bits
(G)UI : MATE
Inscription : 28-01-2012
Site Web

Re : Proxmox, et PfSense

Bonjour sir_siegfrieds,

En production industrielle, une VM ne peut pas faire planter un hyperviseur ! Il existe des mécanismes de protection depuis la nuit des temps et heureusement ! smile

Je pense plutôt que c'est un problème de méthodologie et je te conseille de regarder plusieurs vidéos de la société Alphorm. C'est payant (20 euros) chaque module mais parfois une démonstration de plusieurs heures en vidéo peut te sortir des méandres de l'informatique.

https://www.alphorm.com/tutoriel/format … xmoxve-3-x (7h01min)

https://www.alphorm.com/tutoriel/format … mox-ve-4-1 (6h39min)

Pour info, Proxmox est actuellement en version 6.0 mais les fondamentaux sans toujours d'actualité.

Pour pfSense même remède...

https://www.alphorm.com/tutoriel/format … -reference  (4h41min)

https://www.alphorm.com/tutoriel/format … -reference (4h46min)

Après je te mets en garde, si tu donnes un accès internet à toute ta domotique en ne maîtrisant pas les règles strictes de sécurité ... bonjour les dégâts !

Ton installation complétera malheureusement la base de données du moteur SHODAN : https://www.shodan.io/ et deviendra une cible potentielle !

Association libriste infothema  située dans les Côtes d'Armor (Bretagne)
Blog : https://www.infothema.fr / Forum : https://www.infothema.fr/forum
Twitter : https://twitter.com/asso_infothema / Compte Mastodon : https://framapiaf.org/@infothema
Diaspora : https://framasphere.org/u/association_infothema

Hors ligne

Pied de page des forums