Tâche #12761
Scénario #12645: portage eSSL 2.5
Ajouter la possibilité à l'assistance GeoBase de traverser un PF
Historique
#1 Mis à jour par Philippe Carre il y a plus de 8 ans
- Assigné à mis à Philippe Carre
- Temps estimé mis à 3.00 h
- Restant à faire (heures) mis à 3.0
Si un service non déclaré (hors PSIN, PNEs, sites distants) doit intervenir sur un serveur Geobase, il faut permettre à ces adresses de traverser le PF. Avec les droits du groupe de services gr_psin (ssh, http, https, ead, ...) ?
La règle serait optionnelle, donc activable ou non depuis l'EAD. Et si le champ 'Assistance externe' (par ex.) est rempli dans la conf de l'eSSL.
A confirmer avec Emmanuel : peut-on laisser la possibilité à d'autres intervenants d'accèder à un eSBL ?
#2 Mis à jour par Emmanuel IHRY il y a plus de 8 ans
oui, pour atteindre les eSBL appli web uniquement.
Il faudrait que la règle soit optionnelle, temporaire (par exemple durée de 3 jours au plus est-ce possible ?), et ne permette d'atteindre qu'un serveur à la fois : il n'y a qu'un serveur geobase par service.
Tu prévois des IP sources autorisées ou c'est any ?
#3 Mis à jour par Philippe Carre il y a plus de 8 ans
- Statut changé de Nouveau à En cours
- % réalisé changé de 0 à 80
- Restant à faire (heures) changé de 3.0 à 0.45
Modif :
- 20_psin.xml : ajout d'une variable <variable name='assist_geobase_ip' type='ip' description="Assistance externe GeoBase" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="Serveurs GeoBase" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan 'assist_geobase'
- 3zones-reference.xml : ajout de l'extrémité Lan 'serveurs_geobase' ; ajout de la regle optionnelle assist_geobase vers serveurs_geobase
--> variante eSSL
A valider avec Vincent. Notamment les protocoles autorisés : gr_psin , sans doute trop large ?
<groupe id="gr_psin" libelle="administration nationale PSIN"> <service name="ead" protocol="tcp" ports="4200" id="36" libelle="ead" tcpwrapper=""/> <service name="echo-request" protocol="ICMP" ports="0" id="echo-request" libelle="règle icmp echo-request" tcpwrapper=""/> <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/> <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/> <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/> <service name="proxy" protocol="tcp" ports="3128" id="4" libelle="service proxy" tcpwrapper=""/> <service name="proxy-8080" protocol="tcp" ports="8080" id="12" libelle="proxy" tcpwrapper=""/> <service name="snmp" protocol="tcp" ports="161" id="86" libelle="snmp" tcpwrapper=""/> <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/> <service name="telnet" protocol="tcp" ports="23" id="84" libelle="telnet" tcpwrapper=""/> <service name="webmin" protocol="tcp" ports="10000" id="9" libelle="appliquation web d'administration" tcpwrapper=""/> </groupe>
#4 Mis à jour par Philippe Carre il y a plus de 8 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 80 à 90
- Restant à faire (heures) changé de 0.45 à 0.25
Modif :
- 20_psin.xml : ajout d'une variable <variable name='*assist_externe_ip*' type='ip' description="*Réseaux d'assistance externe*" multi='True'/>
--> paquet supervision-psin
- 70_filtrage.xml : ajout d'une variable <variable name='serveurs_geobase_ip' type='ip' description="*Serveurs Geo-IDE-Base*" multi='True'>
- 2zones-reference.xml : ajout de l'extrémité Wan '*assist_externe*'
- 3zones-reference.xml : ajout de la regle optionnelle assist_externe vers serveurs_geobase
--> variante eSSL
Avec les accès au nouveau groupe de services :
<groupe id="*gr_assist_externe*" libelle="assistance externe"> + <service name="gen_config" protocol="tcp" ports="7000" id="89" libelle="Accès à gen_config depuis l'extérieur en https" tcpwrapper=""/> <service name="http" protocol="tcp" ports="80" id="3" libelle="serveur web" tcpwrapper=""/> <service name="https" protocol="tcp" ports="443" id="5" libelle="serveur web sécurisé" tcpwrapper=""/> <service name="ssh" protocol="tcp" ports="22" id="8" libelle="shell sécrurisé" tcpwrapper="sshd"/> </groupe>
#5 Mis à jour par Thierry Bertrand il y a plus de 8 ans
- Restant à faire (heures) changé de 0.25 à 0.0
#6 Mis à jour par Thierry Bertrand il y a plus de 8 ans
- Statut changé de Résolu à Fermé