Wiki-GuedeL

Outils pour utilisateurs

Outils du site

Piste:
welcome:opnsense:haproxy_et_fail2ban

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision 		Révision précédente
welcome:opnsense:haproxy_et_fail2ban [2021/12/14 20:10]
arnaud créée 		welcome:opnsense:haproxy_et_fail2ban [2021/12/14 20:52] (Version actuelle)
arnaud [Communiquer l'ip à bannir]
Ligne 1: Ligne 1:
 **<color #22b14c>Réglages permettant d'utiliser fail2ban derrière HAProxy</color>**{{howhard>3}} \\ **<color #22b14c>Réglages permettant d'utiliser fail2ban derrière HAProxy</color>**{{howhard>3}} \\
-Le service fail2ban d'une machine située derrière le HAProxy (càd un "real server") ne peut fonctionner correctement car toutes les requêtes lui arrivent via le proxy => banir l'IP d'origine de la requête ne sert à rien (car requête arrive du proxy) => la requête arrive tout de même ou alors c'est le proxy, donc tout communication, qui est bani\\ \\+Le service fail2ban d'une machine située derrière le HAProxy (càd un "real server") ne peut fonctionner correctement car toutes les requêtes lui arrivent via le proxy => bannir l'IP d'origine de la requête ne sert à rien (car requête arrive du proxy) => la requête arrive tout de même ou alors c'est le proxy, donc tout communication, qui est banni. \\ 
  
-Il faut donc que le "real server" demande à OPNSense de banir les mauvaises IPs pour lui.+Il faut donc que le "real server" demande à OPNSense de bannir les mauvaises IPs pour lui. 
 + 
 +====== Créer un utilisateur ====== 
 +  * sans aucun privilège. 
 +  * éditer son profil 
 +    * lui donner uniquement les privilèges ''Diagnostics: PF Table IP addresses'' 
 +    * créer la clé API et bien sauvegarder les informations de connexion 
 + 
 +====== Créer un alias ====== 
 +''Firewall'' => ''Aliases'' de type ''Host(s)'' sans renseigner d'ip. 
 + 
 +====== Créer 2 règles de blocage dans le firewall ====== 
 +Une pour http, l'autre pour https. Dans le WAN: 
 +<code> blocage   IPv4+6 TCP/UDP alias_ci_dessus  * alias-HAProxy 80 (HTTP) * * blocage http fail2ban  
 + blocage   IPv4+6 TCP/UDP alias_ci_dessus  * alias-HAProxy 443 (HTTPS) * * blocage http fail2ban </code> 
 + 
 +====== Communiquer l'ip à bannir ====== 
 +Il faut maintenant que le "real server" puisse se connecter à OPNSense via une ligne de commande "curl" pour indiquer la/les ip(s) à assigner à l'alias de blocage. \\ 
 +Cette communication s'effectue en https. Il faut donc: 
 +  - Créer si nécessaire une règle de passage TCP dans le firewall: \\ Source = le real server , destination = l'adresse de OPNsense située dans le réseau du real server , port = celui utilisé pour joindre l'interface web GUI. 
 +  - Configurer si nécessaire l'interface web pour qu'elle soit joignable depuis le réseau du real server: \\ ''System'' => ''Settings'' => ''Administration'' => ''Web GUI'' => ''Listen interfaces'' 
 +Maintenant cette communication s'effectue via un script lancé depuis le real server. [[welcome:linux_usually:secure_joomla#communiquer_avec_opnsense|communiquer_avec_opnsense]]
  
welcome/opnsense/haproxy_et_fail2ban.1639512603.txt.gz · Dernière modification: 2021/12/14 20:10 de arnaud

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki
DokuWiki Appliance - Powered by TurnKey Linux