Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol
Toutefois, comme on est des grosses loutres et qu'on veut un firewall sans effort, on a créé un paquet firewall-chapril avec une configuration de base qui va bien.
Pour l'installer :
apt install firewall-chapril
La configuration est dans deux fichiers, inclus par le fichier globale de configuration /etc/firehol/firehol.conf que vous n'avez pas à éditer. Celui-ci vous ouvre notamment le ping (icmp), le ssh, le monitoring et le mail.
Les deux fichiers de configuration que vous pouvez éditer correspondent à deux scénarios :
/etc/firehol/firehol-lan2me.conf définira les services qu'on accepte depuis l'intérieur du cluster./etc/firehol/firehol-ext2me.conf définira les services qu'on accepte depuis l'extérieur du cluster.En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l'extérieur du cluster.
Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante :
# Services acceptés
server http accept
On peut tester la configuration pendant 30 s avec
firehol try
Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec
firehol start