Base de connaissances : Services

Pour les utilisateurs n'ayant pas d'ip fixe (ou de vpn avec une ip fixe) et qui ont les accès aux services de leurs serveurs protégés par ip. Nous avons mis en place un système de proxy permettant d'outrepasser la protection par ip (la sécurité se faisant par la connexion avec un nom d'utilisateur et mot de passe a un proxy).

Notre système de proxy permet donc aux clients de se connecter aux services :

- phpmyadmin et webmin directement par l’intermédiaire d'un url protégée par une authentification http (url fourni lors de la demande de mise en place du proxy)

- Sftp et ssh par l'intermédiaire d'un proxy http.

Voici les paramètres génériques du proxy permettant les connexions sftp et ssh (seul la connexion a vos serveurs aqueos sera autorisée):

Type de proxy : HTTP

Hôte : aqproxy.aqueos.net

Port : 1128

Protection par login/mot de passe qui vous seront fournis

* Filezilla

Sur filezilla la configuration du proxy est global et donc toutes les connexions passeront automatiquement par le proxy.

Pour configurer le proxy, il faut donc aller dans le menu "Édition -> Paramètres". Puis dans la section "Connexion -> Proxy générique" remplir les champs (il faut évidement remplacer "utilisateur" par l'utilisateur qui vous sera fourni) :

Pour pouvoir se connecter a un serveur autre que vos serveurs aqueos, il faut dans le "gestionnaire de sites" et dans l'onglet "Avancé", cocher l'option "Ignorer le Proxy" :

* Winscp

Sur Winscp la configuration du proxy est faite par "Session" et donc cela est a configuré sur toutes les connexions devant passer par le proxy.

Pour configurer cela, il faut donc :

- dans la fenêtre "Login" sélectionner la connexion que vous désirez faire passer par le proxy

- Cliquer sur le bouton "Editer" puis cliquer sur le bouton "Avancé..."

- Et enfin aller dans la section "Connexion -> Proxy" et remplir les champs (il faut évidement remplacer "utilisateur" par l'utilisateur qui vous sera fourni) :

* Putty

Sur Putty la configuration du proxy est faite par "Session" et donc cela est a configuré sur toutes les connexions devant passer par le proxy.

Pour configurer cela, il faut donc :

- Aller dans la section "Connection -> Proxy" et remplir les champs (il faut évidement remplacer "utilisateur" par l'utilisateur qui vous sera fourni) :

* Cyberduck

Malheureusement se client sftp permet uniquement d'utiliser le proxy global du système et n'est donc pas compatible avec notre proxy. Nous vous recommandons donc d'utiliser Filezilla

Bonjour,

 Si vous disposez d'un contrat de surveillance AQUEOS il vous faut ouvrir le firewall de façon a laisser notre système accéder au votre. Pour ceci il faut autoriser :
 
 - le serveur de monitoring a se connecter a l'agent de surveillance:
 
Depuis:            monitoring.aqueos.net  ( si votre firewall ne supporte pas les noms de domaine l'ip est 94.125.164.127 )
vers :               structure a surveiller, donc ip du serveur ou masque de réseau complet si il y a plusieurs machines
protocol:           tcp
port:                10050,10052
                        ( en cas d'installation virtualisée le 10050 concerne le host et 10052 le guest, si il y a plusieurs guest par serveur nous consulter pour la liste complète)
policy:               ACCEPT
commentaire:     monitoring aqueos vers la structure
ex. iptables:       iptables -I INPUT -s monitoring.aqueos.net -p tcp --dport 10050,10052 -j ACCEPT




  - vos machine a répondre
 
Depuis:            structure a surveiller, donc ip du serveur ou masque de réseau complet si il y a plusieurs machines
vers :               monitoring.aqueos.net  ( si votre firewall ne supporte pas les noms de domaine l'ip est 94.125.164.127 )
protocol:           tcp
port:                10051
policy:              ACCEPT
commentaire:    de la structure vers monitoring aqueos
ex. iptables:      iptables -I OUTPUT -d monitoring.aqueos.net -p tcp --dport 10051 -j ACCEPT

 

 Bien sur il faut aussi ouvrir les ports vers les services qui sont surveillés en plus de l'agent . Ainsi, si vous désirez surveiller le ftp il vous faut ouvrir le port 21:
 
Depuis:        monitoring.aqueos.net  ( si votre firewall ne supporte pas les noms de domaine l'ip est 94.125.164.127 )
vers :           structure a surveiller, donc ip du serveur ou masque de réseau complet si il y a plusieurs machines ayant un service FTP
protocol:       tcp
port:            21
policy:          ACCEPT
ex. iptables:  iptables -I INPUT -s monitoring.aqueos.net -p tcp --dport 21 -j ACCEPT



  En ce qui concerne le monitoring pro SMS la liste des ip a autoriser est la suivante :
 
Nuremberg     213.133.109.71
Berlin             81.169.152.104
Hamburg        212.72.183.125
Munich           193.164.132.46
Frankfurt        46.167.171.29
Berlin 2          85.214.55.236
Strasbourg     62.75.152.240
   
New York     66.199.224.254
Dallas          206.123.75.177
Atlanta        65.254.53.199
San Diego    206.225.93.134
   
Tokyo              106.187.100.10
Auckland          103.6.212.237
Kuala Lumpur   111.90.152.209


 Le cluster de machine évoluant ces Ip peuvent changer au cour du temps.
 La surveillance s'effectue depuis une zone, généralement nous utilisons la zone spéciale qui englobe europe/USA donc inutile d'autoriser les 3 derniers.
 Il est possible de limiter a l'un des trois cluster de surveillance uniquement ( Europe / USA / Asie ).
 
 
 Un exemple de règle pour le ftp serait alors:
 
Depuis:        213.133.109.71, 81.169.152.104, 212.72.183.125, 193.164.132.46, 46.167.171.29, 85.214.55.236, 62.75.152.240, 66.199.224.254, 206.123.75.177, 65.254.53.199, 206.225.93.134
vers :           structure a surveiller, donc ip du serveur ou masque de réseau complet si il y a plusieurs machines ayant un service FTP
protocol:       tcp
port:            21
policy:          ACCEPT