Distribution EOLE

Si un service non déclaré (hors PSIN, PNEs, sites distants) doit intervenir sur un serveur Geobase, il faut permettre à ces adresses de traverser le PF. Avec les droits du groupe de services gr_psin (ssh, http, https, ead, ...) ?
La règle serait optionnelle, donc activable ou non depuis l'EAD. Et si le champ 'Assistance externe' (par ex.) est rempli dans la conf de l'eSSL.

A confirmer avec Emmanuel : peut-on laisser la possibilité à d'autres intervenants d'accèder à un eSBL ?

Modif :
- 20_psin.xml : ajout d'une variable <variable name='assist_geobase_ip' type='ip' description="Assistance externe GeoBase" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="Serveurs GeoBase" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan 'assist_geobase'
- 3zones-reference.xml : ajout de l'extrémité Lan 'serveurs_geobase' ; ajout de la regle optionnelle assist_geobase vers serveurs_geobase
--> variante eSSL

A valider avec Vincent. Notamment les protocoles autorisés : gr_psin , sans doute trop large ?

<groupe id="gr_psin" libelle="administration nationale PSIN">
            <service name="ead" protocol="tcp" ports="4200" id="36" libelle="ead" tcpwrapper=""/>
            <service name="echo-request" protocol="ICMP" ports="0" id="echo-request" libelle="règle icmp echo-request" tcpwrapper=""/>
            <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/>
            <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/>
            <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/>
            <service name="proxy" protocol="tcp" ports="3128" id="4" libelle="service proxy" tcpwrapper=""/>
            <service name="proxy-8080" protocol="tcp" ports="8080" id="12" libelle="proxy" tcpwrapper=""/>
            <service name="snmp" protocol="tcp" ports="161" id="86" libelle="snmp" tcpwrapper=""/>
            <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/>
            <service name="telnet" protocol="tcp" ports="23" id="84" libelle="telnet" tcpwrapper=""/>
            <service name="webmin" protocol="tcp" ports="10000" id="9" libelle="appliquation web d'administration" tcpwrapper=""/>
        </groupe>

Modif :
- 20_psin.xml : ajout d'une variable <variable name='*assist_externe_ip*' type='ip' description="*Réseaux d'assistance externe*" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="*Serveurs Geo-IDE-Base*" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan '*assist_externe*'
- 3zones-reference.xml : ajout de la regle optionnelle assist_externe vers serveurs_geobase
--> variante eSSL
Avec les accès au nouveau groupe de services :

<groupe id="*gr_assist_externe*" libelle="assistance externe">
+            <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/>
             <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/>
             <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/>
             <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/>
</groupe>