admin:procedures:configuration-firewall-guest
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
admin:procedures:configuration-firewall-guest [2017/06/28 15:09] – fpoulain | admin:procedures:configuration-firewall-guest [2021/01/31 14:56] (Version actuelle) – [Démarrage] fpoulain | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | <note warning> | + | ====== Un firewall simple |
- | + | ||
- | ====== Un firewall simple | + | |
Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https:// | Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https:// | ||
Ligne 8: | Ligne 6: | ||
===== Installation ===== | ===== Installation ===== | ||
+ | |||
+ | <note warning> | ||
Pour l' | Pour l' | ||
Ligne 14: | Ligne 14: | ||
===== Configuration ===== | ===== Configuration ===== | ||
- | La configuration est dans ''/ | + | La configuration est dans deux fichiers, inclus par le fichier globale de configuration |
- | firehol helpme > / | + | |
- | Ce template nécessite néanmoins un peu de travail pour être ok. Voici un exemple de conf qui correspond | + | Les deux fichiers |
- | <code bash / | + | * '' |
- | ## IPv6 | + | * ''/ |
- | ipv6 interface any v6interop proto icmpv6 | + | |
- | client ipv6neigh accept | + | |
- | server ipv6neigh accept | + | |
- | policy return | + | |
- | # Trafic interne au cluster | + | En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l' |
- | # The purpose of this interface is to control the traffic | + | |
- | # on the ens3 interface with IP 192.168.1.30 (net: " | + | |
- | # on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 | + | |
- | interface "ens3 ens8" internal_trafic src4 " | + | |
- | + | ||
- | # On est entre amis alors on rejette poliment le trafic | + | |
- | policy reject | + | |
+ | Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante : | ||
+ | <code bash / | ||
# Services acceptés | # Services acceptés | ||
- | client dhcp accept | ||
- | server ICMP accept | ||
server http accept | server http accept | ||
- | server smtp accept | ||
- | server ssh accept | ||
- | |||
- | # Custom service definitions for unknown services. | ||
- | server custom icinga tcp/5665 any accept | ||
- | |||
- | # Accepte tout en sortie | ||
- | client all accept | ||
- | |||
- | # Trafic externe au cluster | ||
- | # The purpose of this interface is to control the traffic | ||
- | # from/to unknown networks behind the default gateway 192.168.1.5 . | ||
- | # on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 | ||
- | interface "ens3 ens8" external_trafic src4 not " | ||
- | |||
- | # La machine n'est pas adressable si le NAT n'est pas configuré | ||
- | # On est donc malgré tout entre amis alors on rejette poliment le trafic | ||
- | policy drop | ||
- | |||
- | # Services acceptés | ||
- | # - pas de http : ça passe nécessairement via le bastion | ||
- | # - pas d' | ||
- | # - pas d'ssh : ça passe nécessairement par le bastion | ||
- | # - pas d'icmp : le serveur n'est pas adressable | ||
- | # - pas d' | ||
- | |||
- | # Accepte tout en sortie | ||
- | client all accept | ||
</ | </ | ||
- | + | ===== Test du firewall | |
- | ===== Test ===== | + | |
On peut tester la configuration pendant 30 s avec | On peut tester la configuration pendant 30 s avec | ||
Ligne 75: | Ligne 34: | ||
===== Démarrage ===== | ===== Démarrage ===== | ||
- | On peut démarrer le service avec | + | Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec |
firehol start | firehol start | ||
- | |||
- | Une fois qu'on est sur qu'on le garde, on peut activer le firewall via ''/ | ||
- | <code conf / | ||
- | START_FIREHOL=YES | ||
- | </ | ||
- | |||
- | Ainsi le firewall est actif dès le démarrage du démon. |
admin/procedures/configuration-firewall-guest.1498662566.txt.gz · Dernière modification : 2017/06/28 15:09 de fpoulain