fix: set default route for k3s

fix: fixed k3s not starting at boot
ajout regle iptables
2023-03-30 09:53:03 +02:00 · 2023-03-30 09:38:27 +02:00 · 2023-03-30 09:22:59 +02:00 · 2023-03-30 09:06:55 +02:00 · 2023-03-30 08:41:17 +02:00
6 changed files with 100 additions and 9 deletions
--- a/roles/fw-ferm/files/iptables.test.r-vp1
+++ b/roles/fw-ferm/files/iptables.test.r-vp1
@ -0,0 +1,43 @@
+# Définir la politique par défaut
+iptables -P INPUT DROP
+iptables -P OUTPUT ACCEPT
+iptables -P FORWARD ACCEPT
+
+# Autoriser le trafic pour le VPN
+iptables -A INPUT -p udp --dport 51820 -j ACCEPT
+
+# Autoriser les connexions établies et connexes
+iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+
+# Autoriser les connexions sur l'interface loopback
+iptables -A INPUT -i lo -j ACCEPT
+
+# Autoriser les requêtes ping
+iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
+
+# Autoriser les connexions SSH depuis le réseau privé et depuis certains hôtes internet
+iptables -A INPUT -p tcp -s 172.16.0.0/24,81.209.165.42 --dport ssh -j ACCEPT
+
+# Autoriser les connexions DNS et SMTP sur l'interface privée
+iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p udp --dport domain -j ACCEPT
+iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p tcp --dport domain -j ACCEPT
+iptables -A INPUT -i enp0s9 -s 172.16.0.0/24 -p udp --dport bootps -j ACCEPT
+
+# Autoriser les requêtes ping sur l'interface VPN
+iptables -A INPUT -i wg0 -p icmp --icmp-type echo-request -j ACCEPT
+
+# Interdire les connexions SSH sur l'interface VPN
+iptables -A INPUT -i wg0 -s 0.0.0.0/0 -p tcp --dport ssh -j DROP
+
+# Interdire les connexions SSH sortantes sur l'interface VPN
+iptables -A OUTPUT -o wg0 -d 0.0.0.0/0 -p tcp --dport ssh -j DROP
+
+# Autoriser le trafic sur l'interface publique
+iptables -A INPUT -i enp0s8 -j ACCEPT
+
+# Autoriser les connexions depuis l'interface privée vers l'interface publique ou une autre interface privée
+iptables -A FORWARD -i enp0s9 -o enp0s8 -j ACCEPT
+iptables -A FORWARD -i enp0s9 -o enp0s9 -j ACCEPT
+
+# Interdire toutes les autres connexions de forwarding
+iptables -A FORWARD -j DROP
--- a/roles/fw-ferm/files/iptables.test.r-vp2
+++ b/roles/fw-ferm/files/iptables.test.r-vp2
@ -0,0 +1,50 @@
+# Politique par défaut : DROP
+iptables -P INPUT DROP
+iptables -P FORWARD ACCEPT
+iptables -P OUTPUT ACCEPT
+
+# Autoriser les connexions VPN entrantes
+iptables -A INPUT -p udp --dport 51820 -j ACCEPT
+
+# Autoriser les connexions établies et apparentées
+iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
+
+# Autoriser les connexions depuis l'interface locale
+iptables -A INPUT -i lo -j ACCEPT
+
+# Autoriser les requêtes ping
+iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
+
+# Autoriser les connexions SSH depuis le réseau privé et depuis certains hôtes Internet
+iptables -A INPUT -s 172.16.0.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
+iptables -A INPUT -s 81.209.165.42 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
+
+# Autoriser les connexions DNS et SMTP depuis le réseau privé
+iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p udp --dport 53 -j ACCEPT
+iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p tcp --dport 53 -j ACCEPT
+iptables -A INPUT -i enp0s8 -s 172.16.0.0/24 -p udp --dport 67 -j ACCEPT
+
+# Autoriser le trafic sortant
+iptables -A OUTPUT -j ACCEPT
+
+# Autoriser les requêtes ping sortantes
+iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
+
+# Autoriser les connexions SSH sortantes
+iptables -A OUTPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
+
+# Autoriser les connexions VPN sortantes
+iptables -A FORWARD -i wg0 -o enp0s9 -j ACCEPT
+iptables -A FORWARD -i enp0s9 -o wg0 -j ACCEPT
+
+# Interdire les connexions SSH entrantes depuis l'interface VPN
+iptables -A FORWARD -i wg0 -p tcp --dport 22 -j DROP
+
+# Autoriser les connexions SSH sortantes vers l'interface VPN
+iptables -A FORWARD -o wg0 -p tcp --dport 22 -j ACCEPT
+
+# Autoriser les connexions établies et apparentées
+iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
+
+# Autoriser le trafic depuis le réseau privé
+iptables -A FORWARD -i enp0s8 -o enp0s9 -j ACCEPT
--- a/roles/peertube/tasks/main.yml
+++ b/roles/peertube/tasks/main.yml
@ -1,11 +1,6 @@
 ---
  - name: installation de docker...
-    command: curl https://releases.rancher.com/install-docker/20.10.sh | sh
+    shell: curl https://releases.rancher.com/install-docker/20.10.sh | sh

  - name: installation de k3s...
-    command: curl -sfL https://get.k3s.io | sh -s - --docker
-
-  - name: activationde k3s au démarrage...
-    systemd:
-      name: k3s
-      enabled: true
+    shell: curl -sfL https://get.k3s.io | sh -s - --docker
--- a/roles/post/files/interfaces.s-peertube
+++ b/roles/post/files/interfaces.s-peertube
@ -8,9 +8,10 @@ iface lo inet loopback
 allow-hotplug enp0s3
 iface enp0s3 inet static
 	address 192.168.99.120/24
+	gateway 192.168.99.99

 # Réseau n-dmz
 allow-hotplug enp0s8
 iface enp0s8 inet static
        address 192.168.100.20/24
-
+	post-up systemctl start k3s
--- a/scripts/addint.s-peertube
+++ b/scripts/addint.s-peertube
@ -1,5 +1,5 @@
 #!/bin/bash
-nom=s-lb-web1
+nom=s-peertube

 # N-adm (enp0s3)

--- a/scripts/mkvm
+++ b/scripts/mkvm
@ -110,6 +110,8 @@ elif [[ "${vm}" == "s-lb-bd" ]] ; then
        create_if "${vm}" "n-adm" "n-dmz-db"
 elif [[ "${vm}" == "s-nas" ]] ; then
        create_if "${vm}" "n-adm" "n-dmz-db"
+elif [[ "${vm}" == "s-peertube" ]] ; then
+	./addint.s-peertube
 elif [[ "${vm}" == "r-vp1" ]] ; then
 	./addint.r-vp1
 elif [[ "${vm}" == "r-vp2" ]] ; then
Author	SHA1	Message	Date
Elam Monnot	47d6805612	fix: set default route for k3s	2023-03-30 09:53:03 +02:00
Elam Monnot	57780388e7	fix: fixed k3s not starting at boot	2023-03-30 09:38:27 +02:00
Johan Largy	8c3fc380fa	ajout regle iptables	2023-03-30 09:22:59 +02:00
Elam Monnot	b5abdda49d	fix: swapped ansible modules in the peertube role	2023-03-30 09:06:55 +02:00
Elam Monnot	2b5fc38edb	fix: added peertube to mkvm	2023-03-30 08:41:17 +02:00