rssLink RSS for all categories
 
icon_red
icon_green
icon_green
icon_red
icon_red
icon_green
icon_green
icon_red
icon_red
icon_blue
icon_green
icon_green
icon_green
icon_orange
icon_green
icon_red
icon_green
icon_blue
icon_red
icon_red
icon_green
icon_red
icon_green
icon_red
icon_orange
icon_green
icon_green
icon_green
icon_green
icon_green
icon_blue
icon_green
icon_red
 

FS#3187 — Politique de sécurité

Attached to Project— Dedicated Servers
Maintenance
ALL
CLOSED
100%
Nous sommes en train d'effectuer un changement des politiques de sécurité sur les switchs dans les baies.
Date:  Sunday, 16 August 2009, 12:28PM
Reason for closing:  Done
Comment by OVH - Wednesday, 24 June 2009, 17:35PM

La politique a été appliquée sur les réseaux :
- 94.23.0.0 à 94.23.255.0
- 91.121.0.0 à 91.121.255.255
- 213.251.132.0 à 213.251.190.255
- 213.186.34.0 à 213.186.63.255


Comment by OVH - Friday, 26 June 2009, 02:25AM

Un premier feedback:
un client fait des "tunnel IPIP" c'est à dire qu'il crée un tunnel entre 2 serveurs
chez Ovh à travers les IP autorisées (l'ip principale et les ip failover, jusqu'au
là tout va bien) et via ce tunnel il fait transiter les packets IPIP avec des FROM
et TO de tout sort. Le packet arrivera sur le serveur mais ne repartira pas. Car
il s'agit d'un packet non reecrit et donc spoofé. En gros, un serveur envoit/genere
les packets avec un FROM IP qui ne lui est pas autorisé.
Dans ce cas là precis le client (très bon techniquement) a fait le systeme de
repartition de charge avec un serveur type EG et des RPS. Et il fait la repartition
de charge d'une IP failover du serveur EG sur le RPS. Le RPS n'a pas l'autorisation
de passer à traver lui les packets dont les entetes FROM/TO ne sont pas l'ip de base
ou l'ip failover du RPS.
La protection qu'on met en place est simple: chaque serveur a son IP et les ip failover
il peut donc generer le trafic avec un IP FROM connu et s'il genere avec un autre IP FROM
c'est du spoof et c'est bloqué au niveau du switch.


Comment by OVH - Friday, 26 June 2009, 15:54PM

La solution à ce probleme est simple: il faut que le packet qui arrive
via le tunnel, reparte via le tunnel vers le bon serveur qui lui a
droit de renvoyer ce packet avec ce from IP.

Il faut utiliser iproute2 sous linux (qui est preinstallé sur les
serveurs):

# echo "200 tunnel" >> /etc/iproute2/rt_tables
# ip rule add from IP_failover_du_loadbalancer/32 table tunnel
# ip route add default via IP_tunnel_gateway table tunnel


Comment by OVH - Friday, 26 June 2009, 19:54PM

Les clients sur les anciennes offres cluster avec le filer
ont des problemes. On les fixe.


Comment by OVH - Saturday, 27 June 2009, 03:06AM

Nous avons eu un probleme dans la mise en place de certaines regles
sur rbx-4. Les communications entre les serveurs derrier rbx-4 et
certain serveurs chez ovh ont bloqués.