Tâche #6313
Scénario #10136: Finaliser le portage de la doc module Amon 2.4.1
Documenter la gestion du pare-feu en 2.4
Description
La section portée depuis 2.3 (Gestion du pare-feu eole-firewall - 09b-eole-firewall.scen) est à revoir pour 2.4, je l'ai donc sortie de la doc (inclusion commentée dans 00-personnalisation.scen).
Je propose d'attendre de voir comment vont évoluer les demandes liées avant de reprendre cette section.
Demandes liées
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 10 ans
- Version cible changé de Maj doc 2.4-RC1 à Maj doc 2.4 - TODO
#2 Mis à jour par Emmanuel GARETTE il y a environ 10 ans
Voici le fonctionnement actuel :
autorisation¶
Autoriser un port (XXX) pour un service (YYY)
<service_access service='YYY'> <port>XXX</port> </service_access>
Avec tcpwrapper :
<tcpwrapper>YYY</tcpwrapper>
Port avec variable (ZZZ):
<port port_type="SymLinkOption">ZZZ</port>
List (WWW) pour port/tcpwrapper
<port service_accesslist="WWW">XXX</port> <tcpwrapper service_accesslist="WWW">YYY</tcpwrapper>
restriction¶
Si on ne définit que les service_accesses, le port est ouvert pour tout le monde sur toutes les interfaces.
Pour ajouter des restrictions il faut ajouter :
<service_restriction service='YYY'> <ip interface='eth0'>1.1.1.1</ip> <:service_restriction>
Dans ce cas, seul l'IP 1.1.1.1 peut accéder à ce service.
Il est possible d'utiliser des variables :
<ip interface='auto' ip_type='SymLinkOption'>variable</ip>
Et un netmask :
<ip interface='eth0' netmask="255.255.255.0" ip_type='SymLinkOption'>variable</ip> <ip interface='eth1' netmask="variable_netmask" netmask_type='SymlinkOption' ip_type='SymLinkOption'>variable</ip>
interface peut être : ethX, all (pour toutes les interfaces), auto (calcule l'interface via la route) ou une variable (avec l'ajout de interface_type="SymlinkOption").
Il est aussi possible de mettre service_restrictionlist au balise IP.
particularités¶
les doublons¶
S'il y a plusieurs règles sur une interface/port, c'est la dernière règle qui est appliqué (par exemple 20_apache.xml redirige le port 80 dans le conteneur, 25_nginx.xml ouvert le port 80, c'est l'ouverture du port qui est fait).
l'activation des règles¶
Si le nom du service du service correspond à un balise service connu dans le conteneur, les requires du service sont appliqués aux accès/restrictions. Il n'est pas possible de les remettre.
Si l'IP est une variable et que la variable n'existe pas (ou est disabled) la règle ne s'applique pas.
De la même façon un port/tcpwrapper avec une variable qui n'existe pas, il n'y a pas non plus de règle à faire.
#3 Mis à jour par Gérald Schwartzmann il y a plus de 9 ans
- Version cible changé de Maj doc 2.4 - TODO à Maj doc 2.4.1
#4 Mis à jour par Emmanuel GARETTE il y a plus de 9 ans
Dans la balise "port" il est également possible de spécifier le protocole (par défaut c'est TCP).
Par exemple :
<service_access service='ntp'> <port protocol='udp'>123</port> </service_access>
#5 Mis à jour par Gérald Schwartzmann il y a plus de 9 ans
- Tâche parente mis à #8962
#6 Mis à jour par Joël Cuissinat il y a plus de 9 ans
- Temps estimé changé de 1.00 h à 2.00 h
- Tâche parente
#8962supprimé - Restant à faire (heures) mis à 2.0
#7 Mis à jour par Joël Cuissinat il y a plus de 9 ans
- Tâche parente mis à #10136
#8 Mis à jour par Gérald Schwartzmann il y a environ 9 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Gérald Schwartzmann
- Début mis à 20/01/2015
#9 Mis à jour par Gérald Schwartzmann il y a environ 9 ans
Ajouté ici /2_4/commun/02_miseEnOeuvre/07_personnalisation/02_dicos/02-fichiers.scen
#10 Mis à jour par Gérald Schwartzmann il y a environ 9 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 0 à 100
- Restant à faire (heures) changé de 2.0 à 0.0
#11 Mis à jour par Joël Cuissinat il y a environ 9 ans
- Statut changé de Résolu à Fermé
Relecture rapide.