Proxmox et "reverse proxy" sftp

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Proxmox et "reverse proxy" sftp

qo_op

Salut à tous, alors petit cas tordu du jour où j'aurai besoin de vos lumières. Je tiens à préciser avant d'entamer le sujet (et que vous me lanciez des tomates), ce que je souhaite faire et la façon dont je m'y prends ne sont peut être pas judicieux. Quoi qu'il en soit j'essaye et je n'y arrive pas donc .. votre aide serait la bienvenue. J'explique :
J'utilise la dernière version de proxmox, je monte dessus des conteneurs lxc pour et chaque conteneur peut être accessible par ssh (sftp) aux utilisateurs concernés. Jusque là tout va bien.
Pour permettre l'accès ssh/sftp, j'ai modifié le fichier /etc/network/interfaces de l'hôte en conséquence. Voici donc comment je m'y prends :

post-up   iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 22100 -j DNAT --to 192.168.1.100:22
post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp --dport 22100 -j DNAT --to 192.168.100.x:22

Cela fonctionne très bien et je fais ça pour chaque conteneur, donc cela nécessite d'ajouter une ligne à chaque fois que je crée un nouveau conteneur et en plus je dois rebooter l'hôte .. car en redémarrant l'interface réseau cela ne prend pas en compte la modification (tout du moins je n'ai pas réussi).
Comme c'est un serveur en production, je ne peux pas me permettre de le couper comme ça à chaque nouveau conteneur.
Du coup je me suis dis : "pourquoi je ne ferai pas comme ce que je fais avec le proxy nginx ?". A savoir que j'utilise le même principe qu'au dessus pour les ports 80 et 443, je route le traffic sur un conteneur que je dédié spécialement à faire proxy nginx. Comme ça celui-ci transmet le traffic au bon conteneur et le tour est joué.

Du coup je me suis dis que j'allais faire une règle multiport avec iptables, comme suit :

post-up   iptables -t nat -A PREROUTING -i vmbr0 -p tcp --match multiport --dports 22100:22199 -j DNAT --to 192.168.1.y
post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp --match multiport --dports 22100:22199 -j DNAT --to 192.168.1.y

Et mettre en place, sur la machine 192.168.1.y les règles comme j'indique au début.
Sauf que malheureusement cela ne semble pas fonctionner comme je m'y attendais. Je me retrouve donc bloqué.

Quelqu'un aurait une idée ? Une solution plus appropriée ? La connaissance d'un logiciel qui fait comme nginx avec le reverse http mais pour le ssh/sftp ?

Merci d'avance pour votre aide 🙂 si c'est pas clair hésitez pas à poser vos questions, je ferai de mon mieux pour répondre.

Au plaisir d'échanger 😃

zer

Salut,

Tu attaques tes containers directement via l'ip admin de proxmox ?

Logiquement, quand tu installes un hyperviseur, tu as besoin de 2 IPs publiques minimum :
1 pour l'interface d'admin.
1 pour une VM.

L'idée, c'est d'avoir un OPNsense sur la VM avec IP publique, et derrière, toutes tes VMs sur un réseau local.
Ainsi, tu peux gérer tes règles nat directement via l'interface d'OPNsense sans jamais avoir besoin de rebooter.

D'une manière générale, quand on utilise un hyperviseur, il faut éviter d'héberger quoi que ce soit ou de modifier la partie "admin/système" de l'hyperviseur !

qo_op

Salut @zer, en effet pour le moment je n'utilise qu'une seule ip pour accéder à l'hyperviseur et aux VM. A terme je pense que je mettrai une IP par VM mais là je dois dire que c'est un serveur plutôt "privé" donc pas d'enjeu véritablement 🙂

Donc pour le moment j'aimerai pouvoir faire le "reverse SFTP" sur la seule et unique ip que j'ai sans pour autant que ce soir l'hôte qui soit chargé de ce rôle.

Je n'utilise pas OPNsense mais je vais me documenter à ce sujet, merci pour la référence.

zer

qo_op c'est un serveur plutôt "privé" donc pas d'enjeu véritablement

C'est pas une question d'enjeu, mais de bonne pratiques, l'interface admin de l'hyperviseur n'est pas supposé faire autre chose.
En fait, c'est une question d'intégrité. Aussi bien pour proxmox que pour ce que tu vas héberger de cette mannière :

Pour ce que tu héberges car une MAJ de proxmox peut tout péter sans prévenir : comme il n'est pas supposer y avoir quoi que ce soit d'autre, les devs font comme s'il n'y avait rien, donc osef si ça pète quelque chose qui n'est pas sensé être là !
Pour proxmox car tu n'es pas à l'abri que ce que va héberger (ou les modifs inhérentes) va péter proxmox. Ni plus, ni moins ^^

1 IP par VM, pourquoi pas, mais vérifie que ce soit bien nécessaire car ça coute cher et pour 95% des cas, un réseau naté derrière un firewall suffit, donc besoin d'une seule IP publique en plus de celle d'admin. D'où la solution OPNsense dont je t'ai parlé.

Enfin, pour répondre plus directement à ta question, je ne pense pas que ce soit possible car de ce que j'ai vu, les modfis réseaux sur l'interface admin de proxmox ne sont prises en compte qu'après redémarrage. C'est juste prévu comme ça.
Vu que c'est pas supposé bouger régulièrement, ça n'impacte pas la prod.

Amnesia

Salut,

Regarde du côté de ifupdown2, cela devrait te permettre de reload ton network sans reboot.
https://pve.proxmox.com/wiki/Network_Configuration
mais attention qu'il soit bien config sinon tu perd ton accès à ton serveur ^^

qo_op

Salut, @Amnesia, tu ne pouvais pas dire plus vrai.. j'ai tenté par le passé d'installer ifupdown2 et malgré une configuration que je pensais bonne, le serveur n'était plus accessible 😆
J'aimerai autant trouver quelque chose de plus "simple" et notamment sans toucher directement l'hôte.
Je regarde côté OPNsense (ou pfsense sur proxmox si j'ai bien lu ???).

Amnesia

C'est mon cas en ce moment même en mode rescue j'ai plu accès... 😅
je vais surement passé sur pfsense comme Hetzner offre un subnet /64 IPv6 voir ci c'est possible d'avoir l'IPv4 pour le node et v6 pour les VMs.
Quand j'aurai accès au serveur bien sûr 😄

MattProd

Amnesia c'est tout a fait possible d'avoir les v6 pour les vm/ct tu peut faire attribuer les ip de de ton /64 directement par opnsense/pfsense : enfin sur le papier j'ai pas encore attaquer ce point la sur le mien.

zer

MattProd Je confirme, c'est tout à fait possible. La limitation se situe plutôt pour les clients. Si les opérateurs ne gèrent pas bien l'IPv6, alors ils n’accéderont tout simplement pas aux services.

Amnesia

MattProd Merci, je vais me pencher sur cette config ^^ .

qo_op

Purée nginx ce héros, j'ai réussi à faire ce que je voulais avec 😃 c'est tout simplement magique !

J'ai tout simplement installé nginx sur le conteneur que je compte dédier à ce rôle :

sudo apt install nginx libnginx-mod-stream

Puis j'ai créé un fichier contenant :

stream {
    upstream ssh {
        server 192.168.1.x:22;
    }
    server {
        listen        y;
        proxy_pass    ssh;

    }
}

"y" est à remplacer par le port que vous souhaitez rediriger.

J'inclus ce fichier dans la conf de nginx.

@zer merci pour tes conseils avisés sur la partie proxmox / hyperviseur, je vais m'atteler à mettre en place la manière que tu décris.