Tâche #12761
Scénario #12645: portage eSSL 2.5
Ajouter la possibilité à l'assistance GeoBase de traverser un PF
History
#1 Updated by Philippe Carre almost 7 years ago
- Assigned To set to Philippe Carre
- Estimated time set to 3.00 h
- Remaining (hours) set to 3.0
Si un service non déclaré (hors PSIN, PNEs, sites distants) doit intervenir sur un serveur Geobase, il faut permettre à ces adresses de traverser le PF. Avec les droits du groupe de services gr_psin (ssh, http, https, ead, ...) ?
La règle serait optionnelle, donc activable ou non depuis l'EAD. Et si le champ 'Assistance externe' (par ex.) est rempli dans la conf de l'eSSL.
A confirmer avec Emmanuel : peut-on laisser la possibilité à d'autres intervenants d'accèder à un eSBL ?
#2 Updated by Emmanuel IHRY almost 7 years ago
oui, pour atteindre les eSBL appli web uniquement.
Il faudrait que la règle soit optionnelle, temporaire (par exemple durée de 3 jours au plus est-ce possible ?), et ne permette d'atteindre qu'un serveur à la fois : il n'y a qu'un serveur geobase par service.
Tu prévois des IP sources autorisées ou c'est any ?
#3 Updated by Philippe Carre almost 7 years ago
- Status changed from Nouveau to En cours
- % Done changed from 0 to 80
- Remaining (hours) changed from 3.0 to 0.45
Modif :
- 20_psin.xml : ajout d'une variable <variable name='assist_geobase_ip' type='ip' description="Assistance externe GeoBase" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="Serveurs GeoBase" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan 'assist_geobase'
- 3zones-reference.xml : ajout de l'extrémité Lan 'serveurs_geobase' ; ajout de la regle optionnelle assist_geobase vers serveurs_geobase
--> variante eSSL
A valider avec Vincent. Notamment les protocoles autorisés : gr_psin , sans doute trop large ?
<groupe id="gr_psin" libelle="administration nationale PSIN"> <service name="ead" protocol="tcp" ports="4200" id="36" libelle="ead" tcpwrapper=""/> <service name="echo-request" protocol="ICMP" ports="0" id="echo-request" libelle="règle icmp echo-request" tcpwrapper=""/> <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/> <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/> <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/> <service name="proxy" protocol="tcp" ports="3128" id="4" libelle="service proxy" tcpwrapper=""/> <service name="proxy-8080" protocol="tcp" ports="8080" id="12" libelle="proxy" tcpwrapper=""/> <service name="snmp" protocol="tcp" ports="161" id="86" libelle="snmp" tcpwrapper=""/> <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/> <service name="telnet" protocol="tcp" ports="23" id="84" libelle="telnet" tcpwrapper=""/> <service name="webmin" protocol="tcp" ports="10000" id="9" libelle="appliquation web d'administration" tcpwrapper=""/> </groupe>
#4 Updated by Philippe Carre almost 7 years ago
- Status changed from En cours to Résolu
- % Done changed from 80 to 90
- Remaining (hours) changed from 0.45 to 0.25
Modif :
- 20_psin.xml : ajout d'une variable <variable name='*assist_externe_ip*' type='ip' description="*Réseaux d'assistance externe*" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="*Serveurs Geo-IDE-Base*" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan '*assist_externe*'
- 3zones-reference.xml : ajout de la regle optionnelle assist_externe vers serveurs_geobase
--> variante eSSL
Avec les accès au nouveau groupe de services :
<groupe id="*gr_assist_externe*" libelle="assistance externe"> + <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/> <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/> <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/> <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/> </groupe>
#5 Updated by Thierry Bertrand almost 7 years ago
- Remaining (hours) changed from 0.25 to 0.0
#6 Updated by Thierry Bertrand almost 7 years ago
- Status changed from Résolu to Fermé