Projet

Général

Profil

Tâche #12761

Scénario #12645: portage eSSL 2.5

Ajouter la possibilité à l'assistance GeoBase de traverser un PF

Ajouté par Philippe Carre il y a plus de 8 ans. Mis à jour il y a plus de 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
22/06/2015
Echéance:
% réalisé:

90%

Temps estimé:
3.00 h
Temps passé:
Restant à faire (heures):
0.0

Historique

#1 Mis à jour par Philippe Carre il y a plus de 8 ans

  • Assigné à mis à Philippe Carre
  • Temps estimé mis à 3.00 h
  • Restant à faire (heures) mis à 3.0

Si un service non déclaré (hors PSIN, PNEs, sites distants) doit intervenir sur un serveur Geobase, il faut permettre à ces adresses de traverser le PF. Avec les droits du groupe de services gr_psin (ssh, http, https, ead, ...) ?
La règle serait optionnelle, donc activable ou non depuis l'EAD. Et si le champ 'Assistance externe' (par ex.) est rempli dans la conf de l'eSSL.

A confirmer avec Emmanuel : peut-on laisser la possibilité à d'autres intervenants d'accèder à un eSBL ?

#2 Mis à jour par Emmanuel IHRY il y a plus de 8 ans

oui, pour atteindre les eSBL appli web uniquement.
Il faudrait que la règle soit optionnelle, temporaire (par exemple durée de 3 jours au plus est-ce possible ?), et ne permette d'atteindre qu'un serveur à la fois : il n'y a qu'un serveur geobase par service.

Tu prévois des IP sources autorisées ou c'est any ?

#3 Mis à jour par Philippe Carre il y a plus de 8 ans

  • Statut changé de Nouveau à En cours
  • % réalisé changé de 0 à 80
  • Restant à faire (heures) changé de 3.0 à 0.45

Modif :
- 20_psin.xml : ajout d'une variable <variable name='assist_geobase_ip' type='ip' description="Assistance externe GeoBase" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="Serveurs GeoBase" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan 'assist_geobase'
- 3zones-reference.xml : ajout de l'extrémité Lan 'serveurs_geobase' ; ajout de la regle optionnelle assist_geobase vers serveurs_geobase
--> variante eSSL

A valider avec Vincent. Notamment les protocoles autorisés : gr_psin , sans doute trop large ?

<groupe id="gr_psin" libelle="administration nationale PSIN">
            <service name="ead" protocol="tcp" ports="4200" id="36" libelle="ead" tcpwrapper=""/>
            <service name="echo-request" protocol="ICMP" ports="0" id="echo-request" libelle="règle icmp echo-request" tcpwrapper=""/>
            <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/>
            <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/>
            <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/>
            <service name="proxy" protocol="tcp" ports="3128" id="4" libelle="service proxy" tcpwrapper=""/>
            <service name="proxy-8080" protocol="tcp" ports="8080" id="12" libelle="proxy" tcpwrapper=""/>
            <service name="snmp" protocol="tcp" ports="161" id="86" libelle="snmp" tcpwrapper=""/>
            <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/>
            <service name="telnet" protocol="tcp" ports="23" id="84" libelle="telnet" tcpwrapper=""/>
            <service name="webmin" protocol="tcp" ports="10000" id="9" libelle="appliquation web d'administration" tcpwrapper=""/>
        </groupe>

#4 Mis à jour par Philippe Carre il y a plus de 8 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 80 à 90
  • Restant à faire (heures) changé de 0.45 à 0.25

Modif :
- 20_psin.xml : ajout d'une variable <variable name='*assist_externe_ip*' type='ip' description="*Réseaux d'assistance externe*" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="*Serveurs Geo-IDE-Base*" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan '*assist_externe*'
- 3zones-reference.xml : ajout de la regle optionnelle assist_externe vers serveurs_geobase
--> variante eSSL
Avec les accès au nouveau groupe de services :

<groupe id="*gr_assist_externe*" libelle="assistance externe">
+            <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/>
             <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/>
             <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/>
             <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/>
</groupe>

#5 Mis à jour par Thierry Bertrand il y a plus de 8 ans

  • Restant à faire (heures) changé de 0.25 à 0.0

#6 Mis à jour par Thierry Bertrand il y a plus de 8 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF