Chapril DokuWiki

Outils pour utilisateurs

Outils du site

Vous êtes ici : start » admin » procedures » configuration-firewall-guest
admin:procedures:configuration-firewall-guest

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
admin:procedures:configuration-firewall-guest [2017/06/28 12:57] – [Test] fpoulainadmin:procedures:configuration-firewall-guest [2021/01/31 14:56] (Version actuelle) – [Démarrage] fpoulain
Ligne 1: Ligne 1:
-====== Un firewall simple avec firehol ======+====== Un firewall simple pour le chaton ======
  
 Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol
 +
 +Toutefois, comme on est des grosses loutres et qu'on veut un firewall sans effort, on a créé un paquet firewall-chapril avec une configuration de base qui va bien.
  
 ===== Installation ===== ===== Installation =====
 +
 +<note warning>Ce qui suit est uniquement valide pour un serveur virtualisé sur le cluster du chaton April. En cas de doute, n'hésitez pas à vous rapprocher d'un admin sur #april-chapril.</note>
  
 Pour l'installer : Pour l'installer :
-  apt install firehol+  apt install firewall-chapril
  
 ===== Configuration ===== ===== Configuration =====
  
-La configuration est dans ''/etc/firehol/firehol.conf''Par défaut elle est videOn peut générer un template de configuration : +La configuration est dans deux fichiers, inclus par le fichier globale de configuration ''/etc/firehol/firehol.conf'' que vous n'avez pas à éditerCelui-ci vous ouvre notamment le ping (icmp), le ssh, le monitoring et le mail.
-  firehol helpme > /etc/firehol/firehol.conf+
  
-Ce template nécessite néanmoins un peu de travail pour être ok. Voici un exemple de conf qui correspond à un guest standard +Les deux fichiers de configuration que vous pouvez éditer correspondent à deux scénarios 
-<code conf /etc/firehol/firehol.conf> +  * ''/etc/firehol/firehol-lan2me.conf'' définira les services qu'on accepte depuis l'intérieur du cluster. 
-</code>+  * ''/etc/firehol/firehol-ext2me.conf'' définira les services qu'on accepte depuis l'extérieur du cluster.
  
-===== Test =====+En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l'extérieur du cluster. 
 + 
 +Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante : 
 +<code bash /etc/firehol/firehol-lan2me.conf> 
 +    # Services acceptés 
 +    server http accept 
 +</code> 
 +===== Test du firewall =====
  
 On peut tester la configuration pendant 30 s avec On peut tester la configuration pendant 30 s avec
Ligne 24: Ligne 34:
 ===== Démarrage ===== ===== Démarrage =====
  
-On peut démarrer le service avec+Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec
   firehol start   firehol start
admin/procedures/configuration-firewall-guest.1498654627.txt.gz · Dernière modification : 2017/06/28 12:57 de fpoulain