Outils pour utilisateurs

Outils du site


admin:procedures:configuration-firewall-guest

Ceci est une ancienne révision du document !


Ce qui suit est uniquement valide pour un serveur virtualisé sur le cluster du chaton April. En cas de doute, n'hésitez pas à vous rapprocher d'un admin sur #april-chatons.

Un firewall simple avec firehol

Firehol permet de disposer d'un firewall sans grand effort. Doc officielle : https://firehol.org/#firehol

Toutefois, comme on est des grosses loutres et qu'on veut un firewall sans effort, on a créé un paquet firewall-chapril avec une configuration de base qui va bien.

Installation

Pour l'installer :

apt install firewall-guest-chapril

Configuration

La configuration est dans deux fichiers, inclus par le fichier globale de configuration /etc/firehol/firehol.conf que vous n'avez pas à éditer. Celui-ci vous ouvre notamment le ping (icmp), le ssh, le monitoring et le mail.

Les deux fichiers de configuration que vous pouvez éditer correspondent à deux scénarios :

  • /etc/firehol/firehol-lan2me.conf définira les services qu'on accepte depuis l'intérieur du cluster.
  • /etc/firehol/firehol-ext2me.conf définira les services qu'on accepte depuis l'extérieur du cluster.

En pratique c'est surtout le premier qui vous concerne car normalement par défaut aucun service n'est routé vers votre machine depuis l'extérieur du cluster.

Par exemple pour recevoir le trafic http depuis le reverse proxy (bastion), on activera la configuration suivante :

/etc/firehol/firehol-lan2me.conf
    # Services acceptés
    server http accept

Test

On peut tester la configuration pendant 30 s avec

firehol try

Démarrage

On peut démarrer le service avec

firehol start

Une fois qu'on est sur qu'on le garde, on peut activer le firewall via /etc/default/firehol :

/etc/default/firehol
START_FIREHOL=YES

Ainsi le firewall est actif dès le démarrage du démon.

admin/procedures/configuration-firewall-guest.1498666249.txt.gz · Dernière modification: 2017/06/28 18:10 par fpoulain