Outils pour utilisateurs

Outils du site


admin:procedures:configuration-firewall-guest

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision
Révision précédente
admin:procedures:configuration-firewall-guest [2017/06/28 09:58] – créée fpoulainadmin:procedures:configuration-firewall-guest [2021/01/31 14:56] (Version actuelle) – [Démarrage] fpoulain
Ligne 1: Ligne 1:
-====== Un firewall simple avec firehol ======+====== Un firewall simple pour le chaton ======
  
 Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol
 +
 +Toutefois, comme on est des grosses loutres et qu'on veut un firewall sans effort, on a créé un paquet firewall-chapril avec une configuration de base qui va bien.
 +
 +===== Installation =====
 +
 +<note warning>Ce qui suit est uniquement valide pour un serveur virtualisé sur le cluster du chaton April. En cas de doute, n'hésitez pas à vous rapprocher d'un admin sur #april-chapril.</note>
  
 Pour l'installer : Pour l'installer :
-  apt install firehol+  apt install firewall-chapril
  
-La configuration est dans ''/etc/firehol/firehol.conf''. Par défaut elle est vide. On peut générer un template de configuration : +===== Configuration =====
-  firehol helpme > /etc/firehol/firehol.conf+
  
-Ce template nécessite néanmoins un peu de travail pour être okVoici un exemple de conf qui correspond à un guest standard +La configuration est dans deux fichiers, inclus par le fichier globale de configuration ''/etc/firehol/firehol.conf'' que vous n'avez pas à éditer. Celui-ci vous ouvre notamment le ping (icmp), le ssh, le monitoring et le mail. 
-<code conf /etc/firehol/firehol.conf>+ 
 +Les deux fichiers de configuration que vous pouvez éditer correspondent à deux scénarios : 
 +  * ''/etc/firehol/firehol-lan2me.conf'' définira les services qu'on accepte depuis l'intérieur du cluster. 
 +  * ''/etc/firehol/firehol-ext2me.conf'' définira les services qu'on accepte depuis l'extérieur du cluster. 
 + 
 +En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l'extérieur du cluster. 
 + 
 +Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante 
 +<code bash /etc/firehol/firehol-lan2me.conf> 
 +    # Services acceptés 
 +    server http accept
 </code> </code>
 +===== Test du firewall =====
 +
 +On peut tester la configuration pendant 30 s avec
 +  firehol try
 +
 +===== Démarrage =====
 +
 +Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec
 +  firehol start
admin/procedures/configuration-firewall-guest.1498643919.txt.gz · Dernière modification : 2017/06/28 09:58 de fpoulain