Outils pour utilisateurs

Outils du site


admin:procedures:configuration-firewall-guest

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
admin:procedures:configuration-firewall-guest [2017/06/28 13:00] – [Configuration] fpoulainadmin:procedures:configuration-firewall-guest [2021/01/31 14:56] (Version actuelle) – [Démarrage] fpoulain
Ligne 1: Ligne 1:
-====== Un firewall simple avec firehol ======+====== Un firewall simple pour le chaton ======
  
 Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol
 +
 +Toutefois, comme on est des grosses loutres et qu'on veut un firewall sans effort, on a créé un paquet firewall-chapril avec une configuration de base qui va bien.
  
 ===== Installation ===== ===== Installation =====
 +
 +<note warning>Ce qui suit est uniquement valide pour un serveur virtualisé sur le cluster du chaton April. En cas de doute, n'hésitez pas à vous rapprocher d'un admin sur #april-chapril.</note>
  
 Pour l'installer : Pour l'installer :
-  apt install firehol+  apt install firewall-chapril
  
 ===== Configuration ===== ===== Configuration =====
  
-La configuration est dans ''/etc/firehol/firehol.conf''Par défaut elle est videOn peut générer un template de configuration : +La configuration est dans deux fichiers, inclus par le fichier globale de configuration ''/etc/firehol/firehol.conf'' que vous n'avez pas à éditerCelui-ci vous ouvre notamment le ping (icmp), le ssh, le monitoring et le mail.
-  firehol helpme > /etc/firehol/firehol.conf+
  
-Ce template nécessite néanmoins un peu de travail pour être ok. Voici un exemple de conf qui correspond à un guest standard +Les deux fichiers de configuration que vous pouvez éditer correspondent à deux scénarios 
-<code bash /etc/firehol/firehol.conf> +  * ''/etc/firehol/firehol-lan2me.conf'' définira les services qu'on accepte depuis l'intérieur du cluster. 
-## IPv6 +  * ''/etc/firehol/firehol-ext2me.conf'' définira les services qu'on accepte depuis l'extérieur du cluster.
-ipv6 interface any v6interop proto icmpv6 +
-    client ipv6neigh accept +
-    server ipv6neigh accept +
-    policy return+
  
-# Trafic interne au cluster +En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l'extérieur du cluster.
-# The purpose of this interface is to control the traffic +
-# on the ens3 interface with IP 192.168.1.30 (net: "192.168.1.0/24 "). +
-# on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 +
-interface "ens3 ens8" internal_trafic src4 "192.168.1.0/24 " dst4 192.168.1.30 src6 "2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64" dst6 2a01:4f8:10b:c42:5054:ff:fed5:3f06 +
- +
- # On est entre amis alors on rejette poliment le trafic +
- policy reject+
  
 +Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante :
 +<code bash /etc/firehol/firehol-lan2me.conf>
     # Services acceptés     # Services acceptés
- client dhcp accept +    server http accept
- server ICMP accept +
- server http accept +
- server smtp accept +
- server ssh accept +
- +
- # Custom service definitions for unknown services. +
- server custom icinga tcp/5665 any accept +
- +
-    # Accepte tout en sortie +
- client all accept +
- +
-# Trafic externe au cluster +
-# The purpose of this interface is to control the traffic +
-# from/to unknown networks behind the default gateway 192.168.1.5 . +
-# on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 +
-interface "ens3 ens8" external_trafic src4 not "${UNROUTABLE_IPV4} 192.168.1.0/24 " dst4 192.168.1.30 src6 not "${UNROUTABLE_IPV6} 2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64" dst6 2a01:4f8:10b:c42:5054:ff:fed5:3f06 +
- +
- # La machine n'est pas adressable si le NAT n'est pas configuré +
- # On est donc malgré tout entre amis alors on rejette poliment le trafic +
- policy drop +
- +
-    # Services acceptés +
-    # - pas de http : ça passe nécessairement via le bastion +
-    # - pas d'email : ça passe nécessairement via le relai email +
-    # - pas d'ssh : ça passe nécessairement par le bastion +
-    # - pas d'icmp : le serveur n'est pas adressable +
-    # - pas d'icinga : ça vient nécessairement du serveur admin +
- +
-    # Accepte tout en sortie +
- client all accept+
 </code> </code>
- +===== Test du firewall =====
-===== Test =====+
  
 On peut tester la configuration pendant 30 s avec On peut tester la configuration pendant 30 s avec
Ligne 71: Ligne 34:
 ===== Démarrage ===== ===== Démarrage =====
  
-On peut démarrer le service avec+Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec
   firehol start   firehol start
- 
-Une fois qu'on est sur qu'on le garde, on peut activer le firewall via ''/etc/default/firehol'' : 
-<code conf /etc/default/firehol> 
-START_FIREHOL=YES 
-</code> 
admin/procedures/configuration-firewall-guest.1498654805.txt.gz · Dernière modification : 2017/06/28 13:00 de fpoulain