Chapril DokuWiki

Outils pour utilisateurs

Outils du site

Piste :
admin:procedures:configuration-firewall-guest

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
admin:procedures:configuration-firewall-guest [2017/06/28 15:09] fpoulainadmin:procedures:configuration-firewall-guest [2021/01/31 14:56] (Version actuelle) – [Démarrage] fpoulain
Ligne 1: Ligne 1:
-<note warning>Ce qui suit est uniquement valide pour un serveur virtualisé sur le cluster du chaton April. En cas de doute, n'hésitez pas à vous rapprocher d'un admin sur #april-chatons.</note> +====== Un firewall simple pour le chaton ======
- +
-====== Un firewall simple avec firehol ======+
  
 Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol
Ligne 8: Ligne 6:
  
 ===== Installation ===== ===== Installation =====
 +
 +<note warning>Ce qui suit est uniquement valide pour un serveur virtualisé sur le cluster du chaton April. En cas de doute, n'hésitez pas à vous rapprocher d'un admin sur #april-chapril.</note>
  
 Pour l'installer : Pour l'installer :
Ligne 14: Ligne 14:
 ===== Configuration ===== ===== Configuration =====
  
-La configuration est dans ''/etc/firehol/firehol.conf''Par défaut elle est videOn peut générer un template de configuration : +La configuration est dans deux fichiers, inclus par le fichier globale de configuration ''/etc/firehol/firehol.conf'' que vous n'avez pas à éditerCelui-ci vous ouvre notamment le ping (icmp), le ssh, le monitoring et le mail.
-  firehol helpme > /etc/firehol/firehol.conf+
  
-Ce template nécessite néanmoins un peu de travail pour être ok. Voici un exemple de conf qui correspond à un guest standard +Les deux fichiers de configuration que vous pouvez éditer correspondent à deux scénarios 
-<code bash /etc/firehol/firehol.conf> +  * ''/etc/firehol/firehol-lan2me.conf'' définira les services qu'on accepte depuis l'intérieur du cluster. 
-## IPv6 +  * ''/etc/firehol/firehol-ext2me.conf'' définira les services qu'on accepte depuis l'extérieur du cluster.
-ipv6 interface any v6interop proto icmpv6 +
-    client ipv6neigh accept +
-    server ipv6neigh accept +
-    policy return+
  
-# Trafic interne au cluster +En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l'extérieur du cluster.
-# The purpose of this interface is to control the traffic +
-# on the ens3 interface with IP 192.168.1.30 (net: "192.168.1.0/24 "). +
-# on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 +
-interface "ens3 ens8" internal_trafic src4 "192.168.1.0/24 " dst4 192.168.1.30 src6 "2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64" dst6 2a01:4f8:10b:c42:5054:ff:fed5:3f06 +
- +
-    # On est entre amis alors on rejette poliment le trafic +
-    policy reject+
  
 +Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante :
 +<code bash /etc/firehol/firehol-lan2me.conf>
     # Services acceptés     # Services acceptés
-    client dhcp accept 
-    server ICMP accept 
     server http accept     server http accept
-    server smtp accept 
-    server ssh accept 
- 
-    # Custom service definitions for unknown services. 
-    server custom icinga tcp/5665 any accept 
- 
-    # Accepte tout en sortie 
-    client all accept 
- 
-# Trafic externe au cluster 
-# The purpose of this interface is to control the traffic 
-# from/to unknown networks behind the default gateway 192.168.1.5 . 
-# on cible les interfaces ens3+ens8 pour mutualiser les regles ipv4 et ipv6 
-interface "ens3 ens8" external_trafic src4 not "${UNROUTABLE_IPV4} 192.168.1.0/24 " dst4 192.168.1.30 src6 not "${UNROUTABLE_IPV6} 2a01:4f8:10b:c41::/64 2a01:4f8:10b:c42::/64" dst6 2a01:4f8:10b:c42:5054:ff:fed5:3f06 
- 
-    # La machine n'est pas adressable si le NAT n'est pas configuré 
-    # On est donc malgré tout entre amis alors on rejette poliment le trafic 
-    policy drop 
- 
-    # Services acceptés 
-    # - pas de http : ça passe nécessairement via le bastion 
-    # - pas d'email : ça passe nécessairement via le relai email 
-    # - pas d'ssh : ça passe nécessairement par le bastion 
-    # - pas d'icmp : le serveur n'est pas adressable 
-    # - pas d'icinga : ça vient nécessairement du serveur admin 
- 
-    # Accepte tout en sortie 
-    client all accept 
 </code> </code>
- +===== Test du firewall =====
-===== Test =====+
  
 On peut tester la configuration pendant 30 s avec On peut tester la configuration pendant 30 s avec
Ligne 75: Ligne 34:
 ===== Démarrage ===== ===== Démarrage =====
  
-On peut démarrer le service avec+Une fois les premiers tests réalisés et qu'on n'est pas sûr de se faire mal, on peut démarrer le service avec
   firehol start   firehol start
- 
-Une fois qu'on est sur qu'on le garde, on peut activer le firewall via ''/etc/default/firehol'' : 
-<code conf /etc/default/firehol> 
-START_FIREHOL=YES 
-</code> 
- 
-Ainsi le firewall est actif dès le démarrage du démon. 
admin/procedures/configuration-firewall-guest.1498662566.txt.gz · Dernière modification : 2017/06/28 15:09 de fpoulain