Project

General

Profile

Tâche #12761

Scénario #12645: portage eSSL 2.5

Ajouter la possibilité à l'assistance GeoBase de traverser un PF

Added by Philippe Carre over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
06/22/2015
Due date:
% Done:

90%

Estimated time:
3.00 h
Spent time:
Remaining (hours):
0.0

History

#1 Updated by Philippe Carre over 5 years ago

  • Assigned To set to Philippe Carre
  • Estimated time set to 3.00 h
  • Remaining (hours) set to 3.0

Si un service non déclaré (hors PSIN, PNEs, sites distants) doit intervenir sur un serveur Geobase, il faut permettre à ces adresses de traverser le PF. Avec les droits du groupe de services gr_psin (ssh, http, https, ead, ...) ?
La règle serait optionnelle, donc activable ou non depuis l'EAD. Et si le champ 'Assistance externe' (par ex.) est rempli dans la conf de l'eSSL.

A confirmer avec Emmanuel : peut-on laisser la possibilité à d'autres intervenants d'accèder à un eSBL ?

#2 Updated by Emmanuel IHRY over 5 years ago

oui, pour atteindre les eSBL appli web uniquement.
Il faudrait que la règle soit optionnelle, temporaire (par exemple durée de 3 jours au plus est-ce possible ?), et ne permette d'atteindre qu'un serveur à la fois : il n'y a qu'un serveur geobase par service.

Tu prévois des IP sources autorisées ou c'est any ?

#3 Updated by Philippe Carre over 5 years ago

  • Status changed from Nouveau to En cours
  • % Done changed from 0 to 80
  • Remaining (hours) changed from 3.0 to 0.45

Modif :
- 20_psin.xml : ajout d'une variable <variable name='assist_geobase_ip' type='ip' description="Assistance externe GeoBase" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="Serveurs GeoBase" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan 'assist_geobase'
- 3zones-reference.xml : ajout de l'extrémité Lan 'serveurs_geobase' ; ajout de la regle optionnelle assist_geobase vers serveurs_geobase
--> variante eSSL

A valider avec Vincent. Notamment les protocoles autorisés : gr_psin , sans doute trop large ?

<groupe id="gr_psin" libelle="administration nationale PSIN">
            <service name="ead" protocol="tcp" ports="4200" id="36" libelle="ead" tcpwrapper=""/>
            <service name="echo-request" protocol="ICMP" ports="0" id="echo-request" libelle="règle icmp echo-request" tcpwrapper=""/>
            <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/>
            <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/>
            <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/>
            <service name="proxy" protocol="tcp" ports="3128" id="4" libelle="service proxy" tcpwrapper=""/>
            <service name="proxy-8080" protocol="tcp" ports="8080" id="12" libelle="proxy" tcpwrapper=""/>
            <service name="snmp" protocol="tcp" ports="161" id="86" libelle="snmp" tcpwrapper=""/>
            <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/>
            <service name="telnet" protocol="tcp" ports="23" id="84" libelle="telnet" tcpwrapper=""/>
            <service name="webmin" protocol="tcp" ports="10000" id="9" libelle="appliquation web d'administration" tcpwrapper=""/>
        </groupe>

#4 Updated by Philippe Carre over 5 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 80 to 90
  • Remaining (hours) changed from 0.45 to 0.25

Modif :
- 20_psin.xml : ajout d'une variable <variable name='*assist_externe_ip*' type='ip' description="*Réseaux d'assistance externe*" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="*Serveurs Geo-IDE-Base*" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan '*assist_externe*'
- 3zones-reference.xml : ajout de la regle optionnelle assist_externe vers serveurs_geobase
--> variante eSSL
Avec les accès au nouveau groupe de services :

<groupe id="*gr_assist_externe*" libelle="assistance externe">
+            <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/>
             <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/>
             <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/>
             <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/>
</groupe>

#5 Updated by Thierry Bertrand over 5 years ago

  • Remaining (hours) changed from 0.25 to 0.0

#6 Updated by Thierry Bertrand over 5 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF