Recommandations de base serveur dédié

[belkav]

Hello tous,

J'ai un petit kimsufi à 6 boules et j'en suis très content.
Aujourd'hui, je remet les mains dans le cambouie afin de tester diverses bricoles.

Avant, je l'utiliser comme seedbox + owncloud mais je voudrais segmenter certaines choses afin de sécuriser le serveur différemment et de tester sans trop de crainte.

Pour cela, j'ai réinstallé le serveur via le manager KS. J'ai foutu un petit proxmox et ça poutre bien.
Le souci principale est que je n'ai qu'une seule IP... pour cela, je vais faire du routage à mort.

Je viens vous voir pour plusieurs choses.
Tout d'abord, vous ferriez quoi ?
-configurer le debian physique afin de faire du routage ?
-Configurer IPtables pour une grosse redirection de port ?
-Revenir sur la solution précédente (owncloud de base) ?
-appeler obi-wan pour le rendre inviolable à ma place ?

Sinon, dans tous les cas, vous auriez des bonnes pratiques à me donner pour iptables ?

Merki

[Zedoune]

si tu fais que du web, tu mets un reverse proxy (nginx ou lighttpd) en entrée qui redirige vers les serveurs web avec des ip locales à ton serveur

[poulpito]

piouuuuttt avec une seule ip oublie proxmox et cie tu va te faire chier ^^
voila pourquoi je suis passé chez online
sans ipfo tu sera obligé de faire ton routage sur l'hyperviseur et ce sera grandement la merde

un seul OS bien protégé avec tout dessus ce sera tout aussi bien
et si tu veux plus sécure avec des VMs ou containeur plus ou moins isolés bah faudra jouer un peu avec une seule ip ou passer à une offre avec ipfo

[belkav]

Obi_wan... notre grand ami

si tu fais que du web, tu mets un reverse proxy (nginx ou lighttpd) en entrée qui redirige vers les serveurs web avec des ip locales à ton serveur

Non, je veux pas faire que du web, justement

piouuuuttt avec une seule ip oublie proxmox et cie tu va te faire chier ^^
voila pourquoi je suis passé chez online
sans ipfo tu sera obligé de faire ton routage sur l'hyperviseur et ce sera grandement la merde

un seul OS bien protégé avec tout dessus ce sera tout aussi bien
et si tu veux plus sécure avec des VMs ou containeur plus ou moins isolés bah faudra jouer un peu avec une seule ip ou passer à une offre avec ipfo

Je veux pas passer chez online car plus cher
j'attends un vrai salaire avant d'y aller...

Je suis bien conscient que je pourrais me faire chier mais y'aurais pas 36 système dessus.
Je compte y caler un serveur owncloud + seedbox (donc port 443 et celui pour l'interface web de la seedbox a redirigrer), un serveur btsync pour mes tests, peut être un serveur web pour mes tests perso et enfin un serveur vpn.
En remarque, concernant les perfs du serveur, je pense être limite mais je m'en fiche... c'est pour du test et au final, y'aurait qu'une seule vm qui serait en H24

Bref, là je cherche des pistes afin de pré-configurer l'ensemble afin d'être stable après

[poulpito]

pourquoi ne pas regarder du côté des containeur simple
sans proxmox ...
soit openvz en ligne de commande soit docker

tu aurai un os simple tu peux faire du nat dessus sans te prendre la tête avec les autres services qui tournent
et tes applis sont en containeur

[Zedoune]

ou tu installes FreeBSD et tu fais des jails !

[poulpito]

tssss Z sort de la j'en étais sur je l'ai pas cité exprès
t'es bien chiante y'a pas de doute

[belkav]

pourquoi ne pas regarder du côté des containeur simple
sans proxmox ...
soit openvz en ligne de commande soit docker

tu aurai un os simple tu peux faire du nat dessus sans te prendre la tête avec les autres services qui tournent
et tes applis sont en containeur

Déja testé docker... j'ai vraiment du mal a le faire fonctionner :/
j'ai beau suivre les docs sur le net, j'arrive pas a faire fonctionner les containers...
Et pourtant cette solution serait cérrement plus simple pour moi

ou tu installes FreeBSD et tu fais des jails !

Je ne connais absolument pas FreeBSD et j'ai pas trop envie d'aller titiller cette distrib

[poulpito]

bah go proxmox
et pour te faciliter la tache de routage/nat tu peux regarder du côté de fridufirewall en pensant a bien rajouter le port de ton webui dans la partie hypervisor
et mettre la zone sur l'interface de base de ton proxmox et la zone secondaire vers le réseau ip de tes vm

[dsebire]

C'est quel KS que tu as ?
Compatible esxi ?

[belkav]

bah go proxmox
et pour te faciliter la tache de routage/nat tu peux regarder du côté de fridufirewall en pensant a bien rajouter le port de ton webui dans la partie hypervisor
et mettre la zone sur l'interface de base de ton proxmox et la zone secondaire vers le réseau ip de tes vm

Je note fridufirewall, je vais voir ce que ça vaut.
Mais sinon, vous auriez des recommandations pour l'usage d'iptables ?

C'est quel KS que tu as ?
Compatible esxi ?

C'est la KS1 donc non compatible ESXi. Il l'aurait été, j'aurais même pas posé ce genre de question

[TheMartel]

c'est toujours compatible
faut juste etre un vrai galérien
En utilisant l'IPV6 pour la supervision on s'en sort

edit: par contre c'est vrai sque sur les moins chers faut quand même être courageux, t'es en N2800:2Go:500go? Le cpu ça passe encore, mais la ram c'est vraiment limite, et le disque est souvent poussif...

[belkav]

Oui mais proxmox, c'est pas trop mal pour ça

Oui, j'ai bien celui avec le N2800 et les 2go+500go.
Pour mon usage, ça suffit amplement... j'ai pas forcement besoin d'avoir toutes les VM qui tournent en même temps.

[dsebire]

sur les KS1, pas de VT donc pas d'esxi

sur le mien, j'ai mis virtualbox, mais ça limite les VM a du 32bits :/

[belkav]

Avec promox et openvz, j'ai moyens de caler les template linux sans soucis donc ça marche bien.
Après, quand j'aurais des soussous, je passerais sur sur une offre supérieure (ou carrément chez online)

[augur1]

c'est toujours compatible
faut juste etre un vrai galérien
En utilisant l'IPV6 pour la supervision on s'en sort

J'ai aussi ce serveur 6 € ; je veux bien un tuto pour galerer avec ESXi

[dsebire]

sur les KS1, pas de VT donc pas d'esxi

sur le mien, j'ai mis virtualbox, mais ça limite les VM a du 32bits :/

change de lunettes

[TheMartel]

Je sais plus où j'ai mis ca.
Mais en gros faut faire une image, passer par l'interface de restauration, et galerer un peu
Limité à des vm 32bit of course....

[belkav]

Bon, hier, je me suis arraché les cheveux pour installer owncloud... j'arrive pas à trouver des tutos correct et ça marche jamais... dernier problème rencontré ? la fin de l'instal' et la connexion à la bdd

Bref, aujourd'hui, je test autre chose

[TheMartel]

Sinon avec xen en paravirtualisation tu peux avoir du 64bit sur quasi toutes les installations Linux. Pas supporté par windows par contre.
Début de piste, pour la partie conf de lip : http://www.dmilz.net/share/ESXi_Kimsufi_2.0.pdf

[dsebire]

Je sais plus où j'ai mis ca.
Mais en gros faut faire une image, passer par l'interface de restauration, et galerer un peu
Limité à des vm 32bit of course....

les KS1 (et KS2, bref tout ce qui est a base d'atom) n'ont pas le VT-x donc esxi ne démarrera pas. (PSOD)
seuls les vieilles versions pourront démarrer (4.1 et 5.0u1 au max) avec limitation a des VM 32 bits en effet, mais aussi avec pas mal de failles de sécurités (4.1 plus supporté et 5.0 non plus => toutes les failles récentes sur bash, crypto et autre restent ouvertes)
après c'est vous qui voyez

[TheMartel]

vi, c'est la soucis

[gizmo78]

TheMartel: oui pour xen cependant ATTENTION! que de la PV, pas de KVM/HVM/PVHVM car faut les instructions pour cela si je dis pas de bêtises.

[Zedoune]

j'aurais dit au contraire qu'il y a que le HVM avec qemu qui marche (ou virtualbox sans virtualisation) et que tu peux faire tourner des invités de même architecture, 64 bits si t'es en 64 et 32 si t'es en 32.

[gizmo78]

peut être pour le HVM, mais c'est sur pour tout ce qui est KVM