OVHcloud Bare Metal Cloud Status

Current status
Legend
  • Operational
  • Degraded performance
  • Partial Outage
  • Major Outage
  • Under maintenance
Politique de sécurité
Scheduled Maintenance Report for Bare Metal Cloud
Completed
Nous sommes en train d'effectuer un changement des politiques de sécurité sur les switchs dans les baies.

Update(s):

Date: 2009-06-27 01:06:16 UTC
Nous avons eu un probleme dans la mise en place de certaines regles
sur rbx-4. Les communications entre les serveurs derrier rbx-4 et
certain serveurs chez ovh ont bloqués.

Date: 2009-06-26 17:54:00 UTC
Les clients sur les anciennes offres cluster avec le filer
ont des problemes. On les fixe.

Date: 2009-06-26 13:54:23 UTC
La solution à ce probleme est simple: il faut que le packet qui arrive
via le tunnel, reparte via le tunnel vers le bon serveur qui lui a
droit de renvoyer ce packet avec ce from IP.

Il faut utiliser iproute2 sous linux (qui est preinstallé sur les
serveurs):

# echo \"200 tunnel\" >> /etc/iproute2/rt_tables
# ip rule add from IP_failover_du_loadbalancer/32 table tunnel
# ip route add default via IP_tunnel_gateway table tunnel



Date: 2009-06-26 00:25:40 UTC
Un premier feedback:
un client fait des \"tunnel IPIP\" c'est à dire qu'il crée un tunnel entre 2 serveurs
chez Ovh à travers les IP autorisées (l'ip principale et les ip failover, jusqu'au
là tout va bien) et via ce tunnel il fait transiter les packets IPIP avec des FROM
et TO de tout sort. Le packet arrivera sur le serveur mais ne repartira pas. Car
il s'agit d'un packet non reecrit et donc spoofé. En gros, un serveur envoit/genere
les packets avec un FROM IP qui ne lui est pas autorisé.
Dans ce cas là precis le client (très bon techniquement) a fait le systeme de
repartition de charge avec un serveur type EG et des RPS. Et il fait la repartition
de charge d'une IP failover du serveur EG sur le RPS. Le RPS n'a pas l'autorisation
de passer à traver lui les packets dont les entetes FROM/TO ne sont pas l'ip de base
ou l'ip failover du RPS.
La protection qu'on met en place est simple: chaque serveur a son IP et les ip failover
il peut donc generer le trafic avec un IP FROM connu et s'il genere avec un autre IP FROM
c'est du spoof et c'est bloqué au niveau du switch.

Date: 2009-06-24 15:35:50 UTC
La politique a été appliquée sur les réseaux :
- 94.23.0.0 à 94.23.255.0
- 91.121.0.0 à 91.121.255.255
- 213.251.132.0 à 213.251.190.255
- 213.186.34.0 à 213.186.63.255
Posted Jun 24, 2009 - 15:34 UTC
This scheduled maintenance affected: Dedicated Servers || Global Infrastructure (BHS, ERI, GRA, LIM, RBX, SBG, SGP, SYD, WAW).