OVH Community, your new community space.

firewall su server dedicati


torpado
18.08.2008, 11.03
Citazione Originariamente Scritto da torpado
Specifiche Firewall:
Dal momento in non riusciamo più a pingare il vostro server, pianifichiamo un intervento.

Se non desiderate il nostro intervento automatico avete due possibilità.
1- il miglior metodo è permettere a OVH di monitorare il settaggio del vostro server inserendo le eccezioni nel vostro firewall per abilitare le richieste (ICMP-ping) provenienti dai servers ping.ovh.net, proxy.p19.ovh.net, proxy.rbx.ovh.net and proxy.ovh.net e in più anche l'ip del vostro server, ma con 250 finale-> aaa.bbb.ccc.ddd (vostro IP) quindi sarà aaa.bbb.ccc.250 l' addetto al monitoring del vostro server.

2-Disabilitare il monitoring, dal manager->server dedicati->stato del server.In questo modo non controlleremo più il vostro server, in nessun caso.Potrete comunque attivare il servizio che invierà una mail all'indirizzo da voi specificato, sempre nel manager stessa sezione.
inserisco il link per la guida al firewall in inglese.presto verrà tradotta in italiano.le figure presenti sono comunque utili al fine di configurarlo correttamente.

j0t
14.08.2008, 18.54
Citazione Originariamente Scritto da torpado
La sessione ssh potete abilitarla su qualsiasi porta.il server è in mano vostra.Quello che è successo al tuo server ha senz'altro una spiegazione diversa.se comunichi il nome del server in questione posso aiutarti a capire.
C'era una spiegazione più razionale

Il problema è che nell'elenco di cui sopra non avevi incluso l'eccezione
/sbin/iptables -A INPUT -i eth0 -p icmp --source IP.250 -j ACCEPT

Dove IP è l'ip del server senza l'ultimo blocco (esempio il mio server è 1.2.3.4, allora l'ip da sbloccare è 1.2.3.250).

Ovviamente una volta inserita questa eccezione è andato tutto a posto. Grazie a dio so leggere il francese e mi sono letto le guide originali...

torpado
14.08.2008, 17.16
Citazione Originariamente Scritto da j0t
Problema: io non intendo eseguire il demone ssh sulla porta 22, questo significa che i tecnici francesi si metteranno a rebootare il server all'impazzata come hanno fatto questa notte col mio?
La sessione ssh potete abilitarla su qualsiasi porta.il server è in mano vostra.Quello che è successo al tuo server ha senz'altro una spiegazione diversa.se comunichi il nome del server in questione posso aiutarti a capire.

Specifiche Firewall:
Dal momento in non riusciamo più a pingare il vostro server, pianifichiamo un intervento.

Se non desiderate il nostro intervento automatico avete due possibilità.
1- il miglior metodo è permettere a OVH di monitorare il settaggio del vostro server inserendo le eccezioni nel vostro firewall per abilitare le richieste (ICMP-ping) provenienti dai servers ping.ovh.net, proxy.p19.ovh.net, proxy.rbx.ovh.net and proxy.ovh.net e in più anche l'ip del vostro server, ma con 250 finale-> aaa.bbb.ccc.ddd (vostro IP) quindi sarà aaa.bbb.ccc.250 l' addetto al monitoring del vostro server.

2-Disabilitare il monitoring, dal manager->server dedicati->stato del server.In questo modo non controlleremo più il vostro server, in nessun caso.Potrete comunque attivare il servizio che invierà una mail all'indirizzo da voi specificato, sempre nel manager stessa sezione.

j0t
14.08.2008, 15.29
Citazione Originariamente Scritto da torpado
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 --source xx.xx.xx.xx -j ACCEPT
Problema: io non intendo eseguire il demone ssh sulla porta 22, questo significa che i tecnici francesi si metteranno a rebootare il server all'impazzata come hanno fatto questa notte col mio?

``Luca``
14.08.2008, 14.21
Citazione Originariamente Scritto da MnEm0nIc
e' un peccato, col monitoring non ci si fa moltissimo. sarebbe utile avere dei firewall hardware per mitigare attacchi dDoS.
magari potrebbe essere una soluzione da proporre in un futuro...
Quoto pienamente! Speriamo che queste utility verranno aggiunte il prima possibile

MnEm0nIc
13.08.2008, 19.33
Citazione Originariamente Scritto da torpado
vi siete spiegati bene.e non ci sono firewall aggiuntivi ne software ne hardware.
e' un peccato, col monitoring non ci si fa moltissimo. sarebbe utile avere dei firewall hardware per mitigare attacchi dDoS.
magari potrebbe essere una soluzione da proporre in un futuro...

torpado
13.08.2008, 19.16
Citazione Originariamente Scritto da MnEm0nIc
no, forse ci siamo spiegati male... il firewall software e' un conto, quello hardware per evitare attacchi dDoS, flood etc e' un altro.

noi siamo interessati a questo tipo di firewall... iptables lo conosco abbastanza bene
vi siete spiegati bene.e non ci sono firewall aggiuntivi ne software ne hardware.l'unico consiglio oltre al monitoring mrtg è di lasciare aperte queste rotte per il monitoring hardware del server.

/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 --source xx.xx.xx.xx -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT

presto finiremo la traduzione di tutte le guide già realizzate per ovh francia e ci sarà più documentazione disponibile per tutti i livelli di utilizzo.

MnEm0nIc
13.08.2008, 18.43
Citazione Originariamente Scritto da torpado
importante sapere che quando utilizzate un firewall se non volete perdere la possibilità che le vostre macchine siano monitorate dal nostro robot per essere avvisati in casi di allarme dovete mantenere libero l'accesso di questa macchina. mrtg-3.ovh.net .consigliato.
no, forse ci siamo spiegati male... il firewall software e' un conto, quello hardware per evitare attacchi dDoS, flood etc e' un altro.

noi siamo interessati a questo tipo di firewall... iptables lo conosco abbastanza bene

torpado
13.08.2008, 18.37
Citazione Originariamente Scritto da MnEm0nIc
gia', vorrei saperlo anche io... fateci sapere
importante sapere che quando utilizzate un firewall se non volete perdere la possibilità che le vostre macchine siano monitorate dal nostro robot per essere avvisati in casi di allarme dovete mantenere libero l'accesso di questa macchina. mrtg-3.ovh.net .consigliato.

MnEm0nIc
13.08.2008, 18.32
gia', vorrei saperlo anche io... fateci sapere

torpado
13.08.2008, 18.32
Citazione Originariamente Scritto da danidome
Buonasera,

Volevo sapere se sulle soluzioni di server dedicati c'è un firewall centralizzato per bloccare attacchi tipo ddos oppure se la connettività è completamente aperta e quindi l'unico filtro è il firewall software del server. grazie
sul vostro server dedicato siete voi che avete il pieno controllo della macchina.anche della sicurezza.esiste un servizio aggiuntivo da noi proposto per assumerci le responsabilità in campo di sicurezza della vostra macchina.in questo link tutte le specifiche. http://www.ovh.it/privato/item/full_security.xml

danidome
13.08.2008, 17.47
Buonasera,

Volevo sapere se sulle soluzioni di server dedicati c'è un firewall centralizzato per bloccare attacchi tipo ddos oppure se la connettività è completamente aperta e quindi l'unico filtro è il firewall software del server. grazie