====== Un firewall simple pour le chaton ======

Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol

Toutefois, comme on est des grosses loutres et qu'on veut un firewall sans effort, on a créé un paquet firewall-chapril avec une configuration de base qui va bien.

===== Installation =====

<note warning>Ce qui suit est uniquement valide pour un serveur virtualisé sur le cluster du chaton April. En cas de doute, n'hésitez pas à vous rapprocher d'un admin sur #april-chapril.</note>

Pour l'installer :
  apt install firewall-chapril

===== Configuration =====

La configuration est dans deux fichiers, inclus par le fichier globale de configuration ''/etc/firehol/firehol.conf'' que vous n'avez pas à éditer. Celui-ci vous ouvre notamment le ping (icmp), le ssh, le monitoring et le mail.

Les deux fichiers de configuration que vous pouvez éditer correspondent à deux scénarios :
  * ''/etc/firehol/firehol-lan2me.conf'' définira les services qu'on accepte depuis l'intérieur du cluster.
  * ''/etc/firehol/firehol-ext2me.conf'' définira les services qu'on accepte depuis l'extérieur du cluster.

En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l'extérieur du cluster.

Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante :
<code bash /etc/firehol/firehol-lan2me.conf>
    # Services acceptés
    server http accept
</code>
===== Test du firewall =====

On peut tester la configuration pendant 30 s avec
  firehol try

===== Démarrage =====

Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec
  firehol start