Un firewall simple pour le chaton

Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol

Toutefois, comme on est des grosses loutres et qu'on veut un firewall sans effort, on a créé un paquet firewall-chapril avec une configuration de base qui va bien.

Installation

Ce qui suit est uniquement valide pour un serveur virtualisé sur le cluster du chaton April. En cas de doute, n'hésitez pas à vous rapprocher d'un admin sur #april-chapril.

Pour l'installer :

apt install firewall-chapril

Configuration

La configuration est dans deux fichiers, inclus par le fichier globale de configuration /etc/firehol/firehol.conf que vous n'avez pas à éditer. Celui-ci vous ouvre notamment le ping (icmp), le ssh, le monitoring et le mail.

Les deux fichiers de configuration que vous pouvez éditer correspondent à deux scénarios :

/etc/firehol/firehol-lan2me.conf définira les services qu'on accepte depuis l'intérieur du cluster.
/etc/firehol/firehol-ext2me.conf définira les services qu'on accepte depuis l'extérieur du cluster.

En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l'extérieur du cluster.

Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante :

/etc/firehol/firehol-lan2me.conf

    # Services acceptés
    server http accept

Test du firewall

On peut tester la configuration pendant 30 s avec

firehol try

Démarrage

Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec

firehol start