admin:procedures:configuration-firewall-guest
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:procedures:configuration-firewall-guest [2017/06/28 12:59] – [Démarrage] fpoulain | admin:procedures:configuration-firewall-guest [2021/01/31 14:56] (Version actuelle) – [Démarrage] fpoulain | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Un firewall simple | + | ====== Un firewall simple |
Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https:// | Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https:// | ||
+ | |||
+ | Toutefois, comme on est des grosses loutres et qu'on veut un firewall sans effort, on a créé un paquet firewall-chapril avec une configuration de base qui va bien. | ||
===== Installation ===== | ===== Installation ===== | ||
+ | |||
+ | <note warning> | ||
Pour l' | Pour l' | ||
- | apt install | + | apt install |
===== Configuration ===== | ===== Configuration ===== | ||
- | La configuration est dans ''/ | + | La configuration est dans deux fichiers, inclus par le fichier globale de configuration |
- | firehol helpme > / | + | |
- | Ce template nécessite néanmoins un peu de travail pour être ok. Voici un exemple de conf qui correspond | + | Les deux fichiers |
- | <code conf / | + | * '' |
- | ## IPv6 | + | * ''/ |
- | ipv6 interface any v6interop proto icmpv6 | + | |
- | | + | |
- | server ipv6neigh accept | + | |
- | policy return | + | |
- | # Trafic interne au cluster | + | En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l' |
- | # The purpose of this interface is to control the traffic | + | |
- | # on the ens3 interface with IP 192.168.1.30 (net: " | + | |
- | # on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 | + | |
- | interface "ens3 ens8" internal_trafic src4 " | + | |
- | + | ||
- | # On est entre amis alors on rejette poliment le trafic | + | |
- | policy reject | + | |
+ | Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante : | ||
+ | <code bash / | ||
# Services acceptés | # Services acceptés | ||
- | client dhcp accept | + | |
- | server | + | |
- | server http accept | + | |
- | server smtp accept | + | |
- | server ssh accept | + | |
- | + | ||
- | # Custom service definitions for unknown services. | + | |
- | server custom icinga tcp/5665 any accept | + | |
- | + | ||
- | # Accepte tout en sortie | + | |
- | client all accept | + | |
- | + | ||
- | # Trafic externe au cluster | + | |
- | # The purpose of this interface is to control the traffic | + | |
- | # from/to unknown networks behind the default gateway 192.168.1.5 . | + | |
- | # on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 | + | |
- | interface "ens3 ens8" external_trafic src4 not " | + | |
- | + | ||
- | # La machine n'est pas adressable si le NAT n'est pas configuré | + | |
- | # On est donc malgré tout entre amis alors on rejette poliment le trafic | + | |
- | policy drop | + | |
- | + | ||
- | # Services acceptés | + | |
- | # - pas de http : ça passe nécessairement via le bastion | + | |
- | # - pas d' | + | |
- | # - pas d'ssh : ça passe nécessairement par le bastion | + | |
- | # - pas d'icmp : le serveur n'est pas adressable | + | |
- | # - pas d' | + | |
- | + | ||
- | # Accepte tout en sortie | + | |
- | client all accept | + | |
</ | </ | ||
- | + | ===== Test du firewall | |
- | ===== Test ===== | + | |
On peut tester la configuration pendant 30 s avec | On peut tester la configuration pendant 30 s avec | ||
Ligne 71: | Ligne 34: | ||
===== Démarrage ===== | ===== Démarrage ===== | ||
- | On peut démarrer le service avec | + | Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec |
firehol start | firehol start | ||
- | |||
- | Une fois qu'on est sur qu'on le garde, on peut activer le firewall via ''/ | ||
- | <code conf / | ||
- | START_FIREHOL=YES | ||
- | </ |
admin/procedures/configuration-firewall-guest.txt · Dernière modification : 2021/01/31 14:56 de fpoulain