Reseau

Installation de GFS pour utilisation avec volume DRBD sous Centos 5.5 ou redhat

Pour faire suite à la mise en place de DRBD dans mon post précédent (http://blog.inforeseau.com/2011/03/installation-drbd-sur-centos-5-5-ou-redhat), nous allons voir la mise en place de GFS, un système de fichier supportant les accès concurrentiels, et permettant ainsi à 2 systèmes (dans le cas présent) d’accéder à un support de stockage simultanément.

A réaliser sur les deux machines concernées (les machines qui partagent le volume DRBD et qui vont constituer notre cluster) :

Il nous faut tout dabord, CMAN (cluster manager) et le support GFS2 :

yum install gfs-utils gfs2-utils cman
yum groupinstall Clustering

Pour configurer le fichier de configuration de base du cluster, j’ai utilisé l’interface graphique « system-config-cluster » pour avoir un modèle, mais on peut créer le fichier à la main directement et définir les éléments du cluster (Ce fichier permet de définir les éléments du cluster pour CMAN qui va gérer les verrous).

<?xml version="1.0" ?>
<cluster config_version="3" name="mon_cluster">
        <fence_daemon post_fail_delay="1" post_join_delay="6"/>
        <clusternodes>
                <clusternode name="pcmsi" nodeid="1" votes="1">
                        <fence/>
                </clusternode>
                <clusternode name="pchp" nodeid="2" votes="1">
                        <fence/>
                </clusternode>
        </clusternodes>
        <cman expected_votes="1" two_node="1"/>
        <fencedevices/>
        <rm>
                <failoverdomains/>
                <resources/>
        </rm>
</cluster>

(man cluster.conf ou man fenced pour plus d’infos sur les paramètres du fichier ci dessus, j’ai augmenté le post_fail_delay à 1 seconde qui est à 0 par défaut à cause de latence sur mon réseau d’expérimentation qui est loin d’être performant! Plus d’infos sur les paramètres notamment liés au quorum (système d’élection dans le cluster) : http://sourceware.org/cluster/wiki/FAQ/CMAN#cman_quorum).

A noter également, la possibilité de modifier le délai de coupure considéré comme étant une rupture de liaison, entrainant le blocage du service (fence = ejection du noeud qui ne répond pas, bloquant l’accès au système GFS avec seulement 2 noeuds dans le cluster) : http://sourceware.org/cluster/wiki/FAQ/CMAN#cman_deadnode_timer

On autorise le trafic dans le firewall entre les noeuds du cluster (attention ici en réseau protégé, limitez les connexions aux machines de confiance, idéalement sur un réseau dédié au cluster).

ATTENTION SI VOUS AVEZ DEJA UNE CONFIGURATION IPTABLES SAUVEZ LE FICHIER AVANT D’UTILISER CE SCRIPT (EN CAS DE DOUTE, PRÉFÉRER LA MÉTHODE MANUELLE EN AJOUTANT LES RÈGLES IPTABLES A LA MAIN COMME INDIQUÉ JUSTE APRÈS).

Avec Iptables, on va utiliser un petit script pour configurer iptables afin d’autoriser le trafic pour le cluster.
Le fichier qui va bien (source : http://www.open-sharedroot.org/faq/administrators-handbook/cluster-system-administration/ports-being-in-use-by-the-red-hat-cluster-software) :

#!/bin/bash

IPTABLES=/sbin/iptables
CLUSTER_INTERFACE=eth0
TCP_PORTS="41966 41967 41968 41969 50006 50008 50009 21064"
UPD_PORTS="50007 5405"

echo -n "Applying iptables rules"
for port in $TCP_PORTS; do
  $IPTABLES -I INPUT  -i $CLUSTER_INTERFACE -p tcp -m tcp --sport $port -j ACCEPT
  $IPTABLES -I INPUT  -i $CLUSTER_INTERFACE -p tcp -m tcp --dport $port -j ACCEPT
  $IPTABLES -I OUTPUT -o $CLUSTER_INTERFACE -p tcp -m tcp --dport $port -j ACCEPT
  $IPTABLES -I OUTPUT -o $CLUSTER_INTERFACE -p tcp -m tcp --sport $port -j ACCEPT
done
for port in $UPD_PORTS; do
  $IPTABLES -I INPUT  -i $CLUSTER_INTERFACE -p udp -m udp --sport $port -j ACCEPT
  $IPTABLES -I INPUT  -i $CLUSTER_INTERFACE -p udp -m udp --dport $port -j ACCEPT
  $IPTABLES -I OUTPUT -o $CLUSTER_INTERFACE -p udp -m udp --dport $port -j ACCEPT
  $IPTABLES -I OUTPUT -o $CLUSTER_INTERFACE -p udp -m udp --sport $port -j ACCEPT
done
echo "[OK]"
echo -n "Saving new rules"
(/etc/init.d/iptables save && \
 echo "[OK]") || echo "[FAILED]"

On l’exécute évidemment pour appliquer les règles qui permettent le trafic. Attention encore, cette configuration ne filtre rien, et considère que vous utilisez une carte réseau dédiée (la CLUSTER_INTERFACE eth0 ici) pour le cluster, sans interception de trafic possible, un câble réseau dédié en gros (pas utilisable sur un réseau ouvert).

Note : on peut sauver la configuration iptables de manière permanente comme suit (recommandé pour le relancement du cluster en cas de reboot) :

/sbin/iptables-save>/etc/sysconfig/iptables

SI LE SCRIPT AU DESSUS VOUS POSE PROBLEME – METHODE MANUELLE (ce qui a été le cas sur une machine pour moi) :
Voici simplement les lignes à ajouter dans /etc/sysconfig/iptables avant les 2 lignes du bas (REJECT et COMMIT) pour permettre la communication du cluster, si vous utilisez ETH0 pour la communication du cluster :

-A RH-Firewall-1-INPUT -i eth0 -p udp -m udp --dport 5405 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p udp -m udp --sport 5405 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p udp -m udp --dport 50007 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p udp -m udp --sport 50007 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --dport 21064 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --sport 21064 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --dport 50009 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --sport 50009 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --dport 50008 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --sport 50008 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --dport 50006 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --sport 50006 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --dport 41969 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --sport 41969 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --dport 41968 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --sport 41968 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --dport 41967 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --sport 41967 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --dport 41966 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -p tcp -m tcp --sport 41966 -j ACCEPT

Après avoir ajouté ces lignes, relancez iptables et c’est réglé.

Puis on active les services au démarrage :

chkconfig cman on
chkconfig gfs2 on

On lance les services :

service cman start
service gfs2 start

On crée le système de fichier gfs2 sur le volume géré par DRBD (uniquement sur la machine principale) :

mkfs.gfs2 -p lock_dlm -t mon_cluster:vbox /dev/drbd1 -j 2

On passe les 2 machines en primary sur DRBD si ça n’est pas le cas (nécessaire pour le montage simultané des ressources):

drbdadm primary resource

On monte le volume une fois créé sur les deux machines :

mkdir /mnt/drbd
mount -t gfs2 /dev/drbd1 /mnt/drbd

Voilà, c’est opérationnel, les deux machines peuvent lire et écrire sur le volume /dev/drbd1 grâce à la gestion du verrou par le cluster.

Quelques références utilisées pour la réalisation de ce post :
http://www.redhat.com/gfs/
http://www.cyberciti.biz/faq/linux-cluster-suite-software/
http://securfox.wordpress.com/2009/08/11/how-to-setup-gfs/
http://sources.redhat.com/cluster/wiki/FAQ/CMAN#two_node
http://www.open-sharedroot.org/faq/administrators-handbook/cluster-system-administration/ports-being-in-use-by-the-red-hat-cluster-software
http://www.sourceware.org/cluster/wiki/DRBD_Cookbook
http://www.drbd.org/users-guide/ch-gfs.html
Ici un autre tuto complet et très clair avec Debian, GFS2 et DRBD :
http://gcharriere.com/blog/?p=73
et à lire un commentaire très pertinent sur la procédure qui s’applique également à mon post :
http://gcharriere.com/blog/?p=73#comment-15
Un article assez complet sur la haute disponibilité chez Redhat :
http://docs.redhat.com/docs/fr-FR/Red_Hat_Enterprise_Linux/5/html-single/Cluster_Suite_Overview/index.html#fig-intro-cluster-CSO

Tags: , , , , , , , ,

vendredi, mars 11th, 2011 Bash, GNU - Linux, Innovation, Reseau, Technologie 5 Comments

Installation DRBD sur Centos 5.5 ou redhat

Voici un nouveau post « mémo » pour l’installation de DRBD sur Centos 5.5 ou Redhat.

DRBD est utilisé sur les clusters de haute disponibilité afin de maintenir des volumes synchronisés entre plusieurs machines, et ainsi de garantir une reprise transparente en cas cas de panne d’un système par exemple. DRBD exploite le réseau TCP/IP pour effectuer la synchronisation des données. Il est souvent qualifié de système de RAID logiciel en réseau, agissant au niveau bloc des périphériques de stockages, et étant de faire totalement transparent pour le système.

Installation DRBD Centos 5.5 :
On télépharge la dernière version (au moment de la rédaction du post), on décompresse, installe les dépendances et on compile (idéalement dans /usr/local/src) :

wget http://oss.linbit.com/drbd/8.3/drbd-8.3.10.tar.gz
tar xvzf drbd-8.3.10.tar.gz
cd drbd-8.3.10
yum install make gcc glibc-devel flex kernel-devel

Compilation des outils :

./configure
make
make install

Compilation du pilote (module) pour le noyau (kernel) pour un noyau modulaire, évidemment ! :

cd drbd
make
make install

Les pilotes (modules) sont installé dans le dossier /lib/module/`uname -r`/kernel/drivers/block/.

On va également forcer le chargement du module automatiquement au reboot de la machine :

echo modprobe drbd>>/etc/rc.modules
chmod +x /etc/rc.modules

Note : Si vous mettez à jour votre machine, et que le noyau est changé, il faudra recompiler les modules comme précédemment.

Note 2 : on peut aussi générer un RPM comme indiqué ici : http://www.drbd.org/users-guide-emb/s-build-rpm.html mais dans tous les cas, en cas de nouveau noyau, il faut les recréer, donc l’intégration en RPM est recommandée (pour faciliter la gestion des outils installés) mais pas obligatoire sur un point de vue fonctionnel.

Évidemment il faut réaliser cette étape sur tous les noeuds du futur cluster!! (Donc sur toutes les machines qui vont gérer le volume, dans mon cas, 2 machines).

Pour poursuivre, nous allons utiliser 2 éléments de stockage (disques / partitions / volumes accessibles par dev-mapper => volgroup etc.) de tailles strictement identiques. Dans le cas présent je pratique l’installation en environnement de test, en utilisant virtualbox. Je vais donc ajouter sur mes deux virtualbox un disque dur virtuel de taille identique (5Go) avec une seule partition utilisant 100% du disque (qui seront utilisés ici an tant que partitions/périphériques directement, soit /dev/sdb1).

Il est noté sur le site du projet que, bien que ça soit techniquement possible, il est décommandé d’utiliser des volumes basés sur des fichiers montés en boucle interne (loop device) ref : http://www.drbd.org/users-guide-emb/ch-configure.html.

On va ensuite préparer la partie réseau. Il est recommandé pour DRBD d’utiliser la ressource la plus performante possible bien entendu. Dans mon cas, je vais effectuer la réplication par un VPN afin de pouvoir tenter l’opération dans plusieurs configurations. Dabord en local puis au travers d’un Wan. Les ports utilisés commencent au 7788 jusqu’au 7799, de plus, DRBD ne pourra pas utiliser plus d’une interface réseau (limité à une seule connexion TCP active).

Nous allons devoir sur notre Centos 5.5 ouvrir les ports réseaux en TCP de 7788 à 7799 au niveau d’iptables.
Pour ce faire, on va ouvrir le fichier /etc/sysconfig/iptables et ajouter les lignes suivantes à la cinquième ligne en partant du la dernière (qui contient le COMMIT, l’ordre des règles a une importance). On notera que les instructions IPTABLES dans centos utilisent une syntaxe propre à Centos/redhat/fedora pour les règles d’entrées :

#Autorisation port 7788 à 7799 pour le proof of concept DRBD en entrée sur la carte tap0 utilisée par le VPN
-A RH-Firewall-1-INPUT -i tap0 -p tcp -m state -m tcp --dport 7788:7799 --state NEW -j ACCEPT

Puis on relance iptables pour appliquer les modifications /etc/rc.d/init.d/iptables restart

On va maintenant procéder à la configuration de DRBD. Comme on a installé DRBD depuis les sources, les fichiers par défaut (skel) ne sont pas présents dans /etc/ mais dans /usr/locat/etc.

On va donc les copier et créer le lien qui permettra à drbd de trouver ses petits.

cp -R /usr/local/etc/* /etc/

On renomme le dossier pour pouvoir créer le lien symbolique :

mv /usr/local/etc /usr/local/etc.old

On crée le lien qui va permettre au tout de trouver les fichiers de configuration :

ln -s /etc /usr/local/

Par convention c’est le fichier /etc/drbd.d/global_common.conf qui contiends les sections « global » et « common » tandis que les « resource » seront définie dans des fichier « .res » individuels (un pour chaque resource) dans le dossier /etc/drbd.d.

Référence: http://www.drbd.org/users-guide-emb/s-configure-resource.html

La configuration « de base » dans le fichier /etc/drbd.d/global_common.conf contient déjà les éléments de base comme suit :

global {
  usage-count yes;
}
common {
  protocol C;
}

Puis nous allons créer le fichier /etc/drbd.d/r0.res qui va définir la ressource DRBD que nous utiliserons dans cet exemple :

resource r0 {
  net {
    allow-two-primaries;
  }
  startup {
    become-primary-on both;
  }
  on pchp {
    device    /dev/drbd1;
    disk      /dev/sdb1;
    address   10.21.3.16:7789;
    meta-disk internal;
  }
  on pcmsi {
    device    /dev/drbd1;
    disk      /dev/hdb1;
    address   10.21.3.17:7789;
    meta-disk internal;
  }
}

Note : ici on nomme la ressource r0, pchp est mon premier pc (doit correspondre au hostname de votre machine, et doit être un nom reconnu par l’une et l’autre des machine !), pcmsi le second, avec leur IP respectives, ainsi que le « disk » utilisé sur chacune des machines (rappel : ils doivent être de taille strictement identique, mais ça peut être n’importe quel périphérique, attention à bien placer les informations dans le fichier de configuration sur les 2 machines).
Note 2 : info sur meta-disk ici http://www.drbd.org/users-guide-emb/ch-internals.html#s-internal-meta-data
Note 3 : Cette configuration autorise les 2 noeuds à être primaires et demande au premier initié de devenir primaire par défaut.

Nous allons maintenant activer la ressource qui va exploiter les partitions (celle de 5Go créées au début de la manipulation, on peut utiliser le disque/périphérique entier aussi /dev/sdb et /dev/hdb dans mon cas) définies dans le fichier de configuration.

Les étapes suivantes sont à réaliser sur tous les noeuds (machines avec DRBD) concernés par la « resource ».

On crée donc les metadata du périphérique (resource = r0 pour l’exemple) :

drbdadm create-md resource

ce qui donne :

Writing meta data...
initializing activity log
NOT initialized bitmap
New drbd meta data block successfully created.

On attache la resource au périphérique (resource est à remplacer par r0 comme pour la commande d’avant):

drbdadm attach resource

Si vous avez une erreur relative au module, comme indiqué il faudra charger le module (pilote dans le noyau) :

modprobe drbd

et recommencer la commande (il faudra penser à ajouter le module dans la listes des modules chargés par défaut : http://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-kernel-modules-persistant.html).

On définit les paramètres de synchronisation (remplacer resource par r0):

drbdadm syncer resource

On connecte les noeuds (remplacer resource par r0):

drbdadm connect resource

Note : les étapes drbdadm attach, drbdadm syncer, et drbdadm connect peuvent être remplacée par l’unique commande : « drbdadm up » ou « drbdadm down » pour deconnecter

Si tout s’est bien passé, les informations sur le statut de la connexion doivent s’afficher en interrogeant /proc/drbd :

cat /proc/drbd

ceci doit renvoyer une information de ce type :

version: 8.3.10 (api:88/proto:86-96)
GIT-hash: 5c0b0469666682443d4785d90a2c603378f9017b build by root@localhost.localdomain, 2011-03-08 21:09:46

 1: cs:Connected ro:Secondary/Secondary ds:Inconsistent/Inconsistent C r-----
    ns:0 nr:0 dw:0 dr:0 al:0 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:b oos:5236960

L’information importante est ici le « Connected ». Si ça n’est pas le cas, vérifiez que vos hôtes communiquent bien et que les hostnames utilisés pour définir la « resource » au niveau de la valeur « on » sont des noms valident et qui communiquent.

Nous allons maintenant synchroniser les données d’un hôte sur l’autre. Dans le cas présent, pas de préférence, les 2 unités sont vides, cependant, si vous devez reconnecter un noeud qui n’a plus de donnée, la commande est à lancer sur celui qui contient les données !!! ATTENTION, là machine où la commande est lancée écrasera l’autre ! NE PAS SE TROMPER.

On synchronise depuis la machine source (remplacer resource par r0):

drbdadm -- --overwrite-data-of-peer primary resource

Après avoir lancé cette commande, la synchronisation complète commence !
On peut en surveiller l’évolution en répétant la commande :

cat /proc/drbd

(Ca ressemble étrangement à une reconstruction de RAID avec un contrôleur smartarray pour ceux qui connaissent).

Votre réplication DRBD est maintenant opérationnelle ! Tout ce que vous allez faire sur votre périphérique sera maintenant répliqué sur l’autre ! (sous réserve que le débit de votre réseau le permette – vous voyez l’évolution sur /proc/drbd)

Si aucun des noeuds n’est passé « Primary » malgré les options du fichier de configuration, vous pouvez « forcer » l’élection du « primary » en tapant la commande suivante sur la machine où ça doit être appliqué :

drbdadm primary resource

De fait pour passer un noeud en secondaire :

drbdadm secondary resource

Vous trouverez ici une information pour démarrer avec un volume pré-rempli et éviter la première synchronisation :
http://www.drbd.org/users-guide-emb/s-using-truck-based-replication.html

Plus généralement, les informations sur l’utilisation et configuration de DRBD sont disponibles ici:
http://www.drbd.org/users-guide-emb/p-work.html

Vous pouvez ensuite utiliser votre nouveau périphérique via /dev/drbdX ou X est le numéro accordé à votre périphérique/partition DRBD (dans l’ordre d’implémentation en suivant votre fichier .res spécifié par la ligne « device »).
Il est donc ensuite simple de formater le support comme n’importe quel disque / périphérique de stockage :

mkfs.ext3 /dev/drbd1

Voilà, j’espère que ce mini guide vous donnera une idée de ce que peut représenter la mise en place de DRBD. Évidemment une telle solution doit s’inscrire dans une stratégie globale de gestion des données afin de garantir la plus haute disponibilité de l’infrastructure. Ce type de solution va de pair avec une gestion des flux en load balancing, et une redondance des ressources de stockage, au moins équipée d’un raid 1 ou mieux.

Le débit réseau nécessaire au maintient de la synchronisation dépendra du volume de données modifiées sur la plateforme, afin que le système puisse répliquer les écritures le plus rapidement possible, et ainsi diminuer la perte en cas de panne d’un noeud.

Vous pouvez également définir le débit réseau à utiliser par chaque « resource » avec l’option suivante dans la configuration de celle ci :

resource resource
  syncer {
    rate 40M;
    ...
  }
  ...
}

C’est en bytes/s et pas en bit/s.

Gérer les erreurs :
http://www.drbd.org/users-guide-emb/s-configure-io-error-behavior.html

Une autre ressource intéressante sur la mise en place de DRBD :
http://blog.guiguiabloc.fr/index.php/2008/10/17/cluster-haute-disponibilite-chez-ovh-avec-ipfailover-heartbeat-et-drbd-via-ipsec/
et là :
http://blog.guiguiabloc.fr/index.php/2009/02/16/mise-en-oeuvre-dun-systeme-de-fichier-distribue-et-acces-concurrents-en-san-avec-drbd-iscsi-ocfs2-et-dm-multipath/

Autre(s) référence(s) :
http://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-kernel-modules-persistant.html

Tags: , , , , , , , ,

jeudi, mars 10th, 2011 GNU - Linux, Paranoïa, Reseau, Technologie 4 Comments

Ubuntu : pare feu ufw en ligne de commande – iptables frontend

Ubuntu est livré par défaut avec le firewall « UFW », qui signifie « Uncomplicated FireWall », et qui n’est autre qu’une interface simplifiée pour l’utilisation des capacités de filtrage de paquets « netfilter » du noyau linux.
L’interface « habituelle » pour manipuler netfilter est « IPTABLES » qui permet de mettre en place une configuration avancée du firewall.

UFW est donc une interface de configuration, qui utilise IPTABLES pour configurer netfilter (élément de filtrage des paquets réseau du noyau linux).
UFW permet une approche plus simpliste de la gestion de firewall, évitant ainsi aux novices de devoir trop perdre de temps pour la configuration de celui ci.

Basé sur cet article « https://wiki.ubuntu.com/UncomplicatedFirewall » je fais juste un tour rapide pour l’utilisation de ufw en ligne de commande. C’est comme toujours un mémo pratique auquel se référer en cas de doute.

Juste pour le dire, il existe une interface graphique pour la configuration de ufw qui s’appelle « gufw » que vous pouvez installer via la commande :

sudo apt-get install gufw

(Menu système, Administration, Configuration du pare-feu)

Cette interface contient une option qui permet d’afficher les ports actuellement écoutés en TCP par les services installés sur la machine et les ports ouverts en UDP (menu édition puis Préférences : Enable listening report). C’est pratique pour identifier en gros ce qui est susceptible d’être ouvert pour permettre l’accès aux autres postes du réseau à es services. Attention cependant, on ne vois pas TOUS les éléments (le serveur SAMBA/SMB par exemple ne s’affiche pas la dedans), il reste pour ça la commande « netstat -tanpu » qui est bien plus précise.

Dernier point concernant l’interface graphique, si vous modifiez les règles en ligne de commande, il faut quitter puis relancer l’interface graphique pour voir les règles modifiées.

Comme dans l’exemple donné en lien, voici comment démarrer le firewall :

On autorise la connexion en SSH :

sudo ufw allow ssh/tcp

On active les logs du firewall (qui vont par défaut dans /var/log/ufw.log :

sudo ufw logging on

On active le firewall :

sudo ufw enable

On affiche son état :

sudo ufw status

Ceci va afficher les règles appliquées dans ufw.

Si vous souhaitez autoriser par exemple les partages SAMBA (CIFS/partage windows) sur UFW il vous faudra alors ouvrir les ports suivants :

sudo ufw allow 137/udp
sudo ufw allow 138/udp
sudo ufw allow 445/tcp

Voilà qui rendra votre serveur samba visible si vous en avez un 🙂

Par défaut, UFW laisse tous les flux sortants autorisés, tous les flux rentrant interdits.

UFW applique un ensemble de règles de base dans IPTABLES qui sont utilisées pour appliquer les règles simplifiées rentrées dans l’interface ou en ligne de commande comme on vient de le voir.
Ces règles sont consultables en tapant la commande :

sudo ufw show raw

Pour la configuration avancée, vous pouvez consulter le document donné en référence (lien en haut du post) qui est très bien fait.
Vous noterez que des détails concernant la configuration par défaut de UFW peuvent être modifiés dans /etc/default/ufw et dans /etc/ufw/ufw.conf (particulièrement le fait qu’il soit actif au boot ou non).

Les autres fichiers impliqués sont /etc/ufw/before[6].rules et /etc/ufw/after[6].rules (pour IPV6) et /etc/before.rules, /etc/after.rules (pour IPV4) définissant des règles appliquées respectivement AVANT l’application de la configuration UFW en ligne de commande (paramètres personnels) et APRES.

Dernier point, UFW sous ubuntu est pris en charge par la plupart des applications réseaux dans les dépôts (package intégration – https://wiki.ubuntu.com/UbuntuFirewallSpec#Package%20Integration). Chaque fois que vous installez une application, celle-ci vient déposer un fichier de configuration (profile) dans /etc/ufw/application.d/ qui contient le détail des ressources réseau qu’elle exploite (ports et protocoles).
L’intérêt est de pouvoir configurer le firewall par application !

Par exemple, pour ouvrir plus simplement le firewall pour samba, on peut aussi taper :

sudo ufw allow samba

Dans la commande sudo ufw status vous verrez alors « Samba » comme descriptif de destination, qui implique l’ouverture de tous les ports définis dans /etc/ufw/application.d/samba.

Pour simplement lister les applications prise en charge on peut taper :

sudo ufw app list

Afficher les informations sur un profile :

sudo ufw app info <profile>

Voilà un petit aperçu qui vous permettra déjà d’activer et de configurer votre firewall en ligne de commande de manière basique sous Ubuntu.

Vous trouverez aussi un excellent complément ici :
https://help.ubuntu.com/10.04/serverguide/C/firewall.html

Autre petite note qui peut être utile, si par exemple vous utilisez un VPN (mettons 10.21.3.0/24) sur lequel vous avez toute confiance, vous pouvez alors autoriser la classe IP entière de cette façon :

sudo ufw allow from 10.21.3.0/24

Attention toutefois si vous vous connectez à l’extérieur de ne pas tomber sur un réseau de cette classe, sans quoi votre machine serait exposée, il conviendra alors d’inverser la règle (qui interdira tout trafic venant de ce réseau) :

sudo ufw deny from 10.21.3.0/24

ou encore de la supprimer :

sudo ufw delete allow from 10.21.3.0/24

Voilà tout 🙂

Tags: , , , , , , ,

samedi, mars 5th, 2011 Bash, GNU - Linux, Reseau, Technologie Un commentaire

 
novembre 2017
L M M J V S D
« Mar    
 12345
6789101112
13141516171819
20212223242526
27282930  
 

 
Suivez moi sur twitter - follow me on twitter
[FSF Associate Member]
 
Free Software, Free Society
VIRTUALISATION :
Compacter une image virtualbox VDI
Bon petit tutoriel esxi
Marche d'appliances vmware
Installer ESXi sur un disque IDE
Installer ESXi 3.5 sur un disque USB
Installer proxmox avec DRBD et migration / réplication à chaud
Installer OSSEC avec VMware
Information sur le VDI
SECURITE - FIREWALL :
Ouvrir des ports dynamiquement iptables - knockd
Autre tres bon tuto knockd
Docs Arp poisoning - Anglais
Metasploit test de pénétration
Zone H - sites piratés en temps réel
Blog invisible things
Tips protection sécurité wordpress
Pfsense - distribution firewall opensource - adsl internet failover
Iproute 2 mini how to - linux advanced routing
ClearOS - la passerelle sécuritaire lan - wan
HAUTE DISPONIBILITE :
CDN - Accélération de la distribution de données
drbd iscsi ocfs2 dm multipath tutoriel
Load balancing LVS
Load balancing opensource list
HA-Proxy :
HAproxy - http load balancer
Simple tutoriel HAproxy
HAproxy - debian tutoriel
Centos - Ip failover
Configuratoin DM-Multipath Redhat
VMware Doubletake - continuité
Quelques liens sur la réplication MySQL : Manuel MySQL, chapitre sur la réplication
Manuel MySQL, Tutoriel clair sur la mise en place
Autre tuto sur la mise en place de la réplication MySQL
Références pour optimisation du serveur MySQL
Utilisation de EXPLAIN mysql pour optimiser vos bases
optimiser vos bases - requetes et index
STOCKAGE RESEAU :
Un outil de clonage disque en reseau
Internet NAS 250Go 250 accès VPN
Server ISCSI avec Ubuntu tuto
ISCSI centos redhat tutoriel
Gérer et étendre un LVM
Créer sa piratebox ! trop cool
Deaddrops, les clés USB dans les murs, aussi cool !
OPTIMISATION WORDPRESS :
Télécharger Xenu
Comment utiliser Xenu
optimisation hébergement wordpress
Super howto wordpress (En)
Test de charge serveur web - Load impact
VPN - ROUTEUR - LAN:
Zeroshell - le mini-routeur wifi tout en un
Retroshare, votre réseau d'échange crypté!
Openvpn sur centos redhat
Intégrer Linux dans active directory
Routage inter-vlan avec Linux
Routage avec OSPF
Network Weathermap
TENDANCES - WEB:
Boutons twitter
Analyser les tendances des recherches Google
Protocole sitemap - robots.txt
Creer des animations CSS3
Code php pour interagir avec twitter
E reputation
Jquery
TRUCS ET ASTUCES GNU/LINUX :
Tuxmachines.org - Actus et tips linux
Configurer GRUB2 et grub2 ici
Panoet - en anglais - tips & tricks
Readylines tips and trick pertinents
Squid Clamav - proxy antivirus
Apprendre Unix en 10 minutes
13 tips sur les expressions régulières
IE Sous linux IES
LDAP 2.4 Quickstart guide
Tutoriel LDAP
Installation annuaire LDAP
Serveur Mail Postfix - Dovecot - LDAP - MDS
Créer un linux personnalisé en ligne - custom linux
Super site sur linux - en
Capistrano - déploiement automatisé
MONITORING :
Nagios tutoriel et doc
Nagios plugin NRPE tuto
Nagios plugin NRPE autre tuto
Nagios plugin NRPE officiel
Zabbix - fonctionnalités
Zabbix - installation
Guide MRTGsys - grapher la charge locale
MRTGsys - ajouter des graphs
MRTGsys - interpréter les données
Shinken - Monitoring
Thruk Monitoring webinterface
Shinken - Tutoriel
Shinken - Référence chez Nicolargo
AUTRES LIENS :
RemixJobs IT jobs
USB Multiboot
Reset mot de passe windows
Java python et autres tips, intéressant !
Forum inforeseau
Open Clipart
Excellent comic en ligne
Inforeseau.fr
 
Contrat Creative Commons
This création is licensed under a Creative Commons Paternité - Pas d'Utilisation Commerciale - Partage des Conditions Initiales à l'Identique 2.0 France License.