Project

General

Profile

Anomalie #1871

Règles de firewall générées par l'EAD trop large.

Added by Guillaume PITARD almost 10 years ago. Updated over 9 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
06/20/2011
Due date:
% Done:

100%

Spent time:
Distribution:

Description

Bonjour,

Dans la suppression des SLIS sur les réseaux PEDA, les administrateurs d'établissement commence à utiliser l'EAD pour définir finement la politique de sécurité de leurs établissements. Ainsi ils créent dans l'ead des groupes de machines, et interdise ou
autorise l'accès au web de celles-ci au fils de la journée. Hélas les règles générées par l'EAD ne sont pas assez précises et ainsi un groupe de machines pour lequel on souhaite couper l'internet va également être coupées des DMZ de l'établissement. De notre cas le résultat obtenu est l’impossibilité pour les clients anti-virus de ce mettre à jour (utilisation du port 8080), par
exemple, ou encore l'impossibilité d'accéder à un serveur web hébergé sur une DMZ (pronote-relai, bcdi-web...)

Pour tenter de corrigé ce problème j'ai modifié le fichier /usr/share/python-support/python-amon-backend/amon/ipset/iptables_generator.py comme ci-joint.
J'ai ajouté déclaré dans la règle iptables l'interface de sortie eth0 pour que seuls les flux traversant l'amon et sortant sur eth0 (en destination de l'internet) soient coupés.
Ainsi les flux inter zones sont préservés.

Cordialement,

patch.txt View (729 Bytes) Guillaume PITARD, 06/20/2011 10:21 AM


Related issues

Related to amon-backend - Evolution #2030: Remplacer les DROP par des REJECT comme en 2.3 Fermé 09/05/2011

Associated revisions

Revision c8025a18 (diff)
Added by Joël Cuissinat over 9 years ago

Spécification de l'interface de sortie pour les règles interdisant le web (fixes #1871)

Revision 93011591 (diff)
Added by Joël Cuissinat over 9 years ago

Spécification de l'interface de sortie pour les règles interdisant le web [2.3] (fixes #1871)

Revision 98a2d66b (diff)
Added by Joël Cuissinat over 9 years ago

mise à niveau des tests unitaires (ref #1871)

Revision 83ae60da (diff)
Added by Joël Cuissinat over 9 years ago

mise à niveau des tests unitaires (ref #1871)

History

#1 Updated by Luc Bourdot almost 10 years ago

  • Status changed from Nouveau to Accepté
  • Assigned To changed from Luc Bourdot to Bruno Boiget
  • Priority changed from Haut to Normal
  • Target version deleted (Mises à jour 2.2.3 - 01 Stable)

Pour avis

#2 Updated by Joël Cuissinat almost 10 years ago

  • Target version set to Mises à jour 2.2.3 - 02 RC

#3 Updated by Bruno Boiget over 9 years ago

  • Assigned To changed from Bruno Boiget to Fabrice Barconnière

impact de la modification à vérifier avant intégration

#4 Updated by Joël Cuissinat over 9 years ago

  • Assigned To changed from Fabrice Barconnière to Joël Cuissinat

OK, on a trouvé où c'était et d'ailleurs l'option "-o" est présente lorsque l'on passe par "Sources et destinations".

Dans l'idéal, il faudrait utiliser la variable "interface_gw" et reporter la modification sur 2.3.

#5 Updated by Joël Cuissinat over 9 years ago

  • Project changed from Amon to amon-backend

#6 Updated by Joël Cuissinat over 9 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#7 Updated by Guillaume PITARD over 9 years ago

Salut Joël,
Bien vu je ne me rappelais plus que cette variable existait.
Dès que c'est dispo sur le 2.2, je vous fait un retour.
Cordialement,

#9 Updated by Joël Cuissinat over 9 years ago

Paquet candidat 2.2 : amon-backend 2.2-eole35~1.gbpe408ac
Paquet candidat 2.3 : amon-backend-2.3-eole26~1.gbp98a2d6

#10 Updated by Joël Cuissinat over 9 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF