admin:procedures:configuration-firewall-guest
Ceci est une ancienne révision du document !
Table des matières
Un firewall simple avec firehol
Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol
Installation
Pour l'installer :
apt install firehol
Configuration
La configuration est dans /etc/firehol/firehol.conf
. Par défaut elle est vide. On peut générer un template de configuration :
firehol helpme > /etc/firehol/firehol.conf
Ce template nécessite néanmoins un peu de travail pour être ok. Voici un exemple de conf qui correspond à un guest standard :
- /etc/firehol/firehol.conf
## IPv6 ipv6 interface any v6interop proto icmpv6 client ipv6neigh accept server ipv6neigh accept policy return # Trafic interne au cluster # The purpose of this interface is to control the traffic # on the ens3 interface with IP 192.168.1.30 (net: "192.168.1.0/24 "). # on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 interface "ens3 ens8" internal_trafic src4 "192.168.1.0/24 " dst4 192.168.1.30 src6 "2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64" dst6 2a01:4f8:10b:c42:5054:ff:fed5:3f06 # On est entre amis alors on rejette poliment le trafic policy reject # Services acceptés client dhcp accept server ICMP accept server http accept server smtp accept server ssh accept # Custom service definitions for unknown services. server custom icinga tcp/5665 any accept # Accepte tout en sortie client all accept # Trafic externe au cluster # The purpose of this interface is to control the traffic # from/to unknown networks behind the default gateway 192.168.1.5 . # on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 interface "ens3 ens8" external_trafic src4 not "${UNROUTABLE_IPV4} 192.168.1.0/24 " dst4 192.168.1.30 src6 not "${UNROUTABLE_IPV6} 2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64" dst6 2a01:4f8:10b:c42:5054:ff:fed5:3f06 # La machine n'est pas adressable si le NAT n'est pas configuré # On est donc malgré tout entre amis alors on rejette poliment le trafic policy drop # Services acceptés # - pas de http : ça passe nécessairement via le bastion # - pas d'email : ça passe nécessairement via le relai email # - pas d'ssh : ça passe nécessairement par le bastion # - pas d'icmp : le serveur n'est pas adressable # - pas d'icinga : ça vient nécessairement du serveur admin # Accepte tout en sortie client all accept
Test
On peut tester la configuration pendant 30 s avec
firehol try
Démarrage
On peut démarrer le service avec
firehol start
Une fois qu'on est sur qu'on le garde, on peut activer le firewall via /etc/default/firehol
:
- /etc/default/firehol
START_FIREHOL=YES
admin/procedures/configuration-firewall-guest.1498654772.txt.gz · Dernière modification : 2017/06/28 12:59 de fpoulain