Discussion :

[CVB51]

Bonjour,

Je viens d'installer une Debian10 en VM sur une Debian10. Connexion ssh ok entre les 2. L'hote a internet et la VM aussi.

Est-ce nécessaire que l'hote doit avoir le package openssh-server ou le client suffit pour que la VM puisse utiliser openssh-server installé sur elle?
Si impossible le port 80 doit être remplacé par le même numéro sur les deux ou 2222 et 1234 sont possible?

Puis-je (j'en doute) désactivé la carte réseau (NAT) de l'hote, du moins son adresse IP sans perturber la VM? Autre type que NAT, etc derrière livebox.

Si je lance diverses attaques sur ma VM depuis mon hôte et qu'il fini en fail2ban, pourrais-je me reconnecter dessus par la suite ou ma VM me sera innaccessible (le comble).

Mon profil, dev et linux plutot que réseau.

Merci

[chrtophe]

Est-ce nécessaire que l'hote doit avoir le package openssh-server ou le client suffit pour que la VM puisse utiliser openssh-server installé sur elle?

L'hôte et la VM sont indépendants. celui qui fait office de serveur ssh doit avoir la paquet openssh-server.

Puis-je (j'en doute) désactivé la carte réseau (NAT) de l'hote, du moins son adresse IP sans perturber la VM? Autre type que NAT, etc derrière livebox.

Pour ça il faudrait voir ta conf réseau hôte et celle de ta VM. En tout cas ça ne causera pas de perturbation du NAT de la livebox.

Si je lance diverses attaques sur ma VM depuis mon hôte et qu'il fini en fail2ban, pourrais-je me reconnecter dessus par la suite ou ma VM me sera innaccessible (le comble).

Si j'ai bien compris, le fail2ban sera effectué par la VM. Si tu es en mode pont, ton hôte et ta VM sont vu chacune sur le réseau avec leu propre IP. Donc fail2ban bannira l'ip de ton hôte. Si tu es en NAT généré par KVM, ça devrai être pareil, ta VM bannira l'IP qui correspond pour lui à l'hôte, sa passerelle.

[CVB51]

Merci pour ces réponse. Fail2ban, j'en étais pratiquement sûre mais dans le doute...

Donc, serveur openssh juste sur la VM (J'avais lu en cherchant comment installer qu'il fallait que l'hote en dispose mais celà ne me semblait pas logique).

La configuration c'est:
net - livebox --> Hote porteur de la VM. Je souhaite lancer la VM le soir sans pour autant rendre mon hote dispo aux attaques. C'est plus facile de reprendre un clone de la VM que de réinstaller l'ensemble du système. Donc, je regarde du côté de la box a déconnecté l'hote en laissant la connexion ouverte pour la VM?

[chrtophe]

Tu veux ouvrir un accès ssh sur ta VM c'est ça ?

Si c'est le cas elle doit être ne mode pont et donc contactable au même titre qu'une autre machine sur ton LAN, psui tu dois ensuite faire la translation de port sur la BOX.

Je te recommandes d'utiliser le port knocking.

[CVB51]

Je voulais une VM contactable par ssh de mon hote ou d'ailleurs, donc ssh sur la VM, ok. Cà fonctionne.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

romain@hote:~$ ssh -p 1480 alois@192.168.122.58

Je pensais pouvoir installer tomcat (port 80, je sais faire) dessus par la suite et que la box oriente directement vers cette machine virtuelle. Savoir si ensuite elle pouvait travailler sans que l'hote soit forcement connecté/actif.

La livebox ne m'indique aucun PC en connexion filiaire. Parfois oui, souvent non. Si je refuse la connexion de mon PC à la box, comment ensuite la rétablir puisque c'est justement ce PC qui la configure.

[chrtophe]

Dans ton code, on vois une adresse en 192.168.122.x. Cela signifie pour moi que tu n'es pas en mode pont. en gros ça veut dire que de l’extérieur, tu as un double NAT, celui de la box, puis celui ce l'hôte pour la VM.

Passes ta VM en mode pont pour qu'elle ai une adresse sur le même réseau que l'hôte, ta livebox, et les autres machines.
L'hôte devra bien sûr être allumé.

Autre point, tu peux envisager une carte réseau virtuelle en pont pour l'accès tomcat, et laisser une carte virtuelle en NAT pour le ssh qui ne pourrait être exécuté que depuis l'hôte, ceci pour l'exemple. Si tu as besoin de ssh depuis l’extérieur, mieux vaut un accès limité à la VM (avec port knocking).

[CVB51]

Merci pour cette réponse claire.

Je m'y attelle. Cordialement