Anomalie #1871
Règles de firewall générées par l'EAD trop large.
Description
Bonjour,
Dans la suppression des SLIS sur les réseaux PEDA, les administrateurs d'établissement commence à utiliser l'EAD pour définir finement la politique de sécurité de leurs établissements. Ainsi ils créent dans l'ead des groupes de machines, et interdise ou
autorise l'accès au web de celles-ci au fils de la journée. Hélas les règles générées par l'EAD ne sont pas assez précises et ainsi un groupe de machines pour lequel on souhaite couper l'internet va également être coupées des DMZ de l'établissement. De notre cas le résultat obtenu est l’impossibilité pour les clients anti-virus de ce mettre à jour (utilisation du port 8080), par
exemple, ou encore l'impossibilité d'accéder à un serveur web hébergé sur une DMZ (pronote-relai, bcdi-web...)
Pour tenter de corrigé ce problème j'ai modifié le fichier /usr/share/python-support/python-amon-backend/amon/ipset/iptables_generator.py comme ci-joint.
J'ai ajouté déclaré dans la règle iptables l'interface de sortie eth0 pour que seuls les flux traversant l'amon et sortant sur eth0 (en destination de l'internet) soient coupés.
Ainsi les flux inter zones sont préservés.
Cordialement,
Related issues
Associated revisions
Spécification de l'interface de sortie pour les règles interdisant le web (fixes #1871)
Spécification de l'interface de sortie pour les règles interdisant le web [2.3] (fixes #1871)
mise à niveau des tests unitaires (ref #1871)
mise à niveau des tests unitaires (ref #1871)
History
#1 Updated by Luc Bourdot over 12 years ago
- Status changed from Nouveau to Accepté
- Assigned To changed from Luc Bourdot to Bruno Boiget
- Priority changed from Haut to Normal
- Target version deleted (
Mises à jour 2.2.3 - 01 Stable)
Pour avis
#2 Updated by Joël Cuissinat about 12 years ago
- Target version set to Mises à jour 2.2.3 - 02 RC
#3 Updated by Bruno Boiget about 12 years ago
- Assigned To changed from Bruno Boiget to Fabrice Barconnière
impact de la modification à vérifier avant intégration
#4 Updated by Joël Cuissinat about 12 years ago
- Assigned To changed from Fabrice Barconnière to Joël Cuissinat
OK, on a trouvé où c'était et d'ailleurs l'option "-o" est présente lorsque l'on passe par "Sources et destinations".
Dans l'idéal, il faudrait utiliser la variable "interface_gw" et reporter la modification sur 2.3.
#5 Updated by Joël Cuissinat about 12 years ago
- Project changed from Amon to amon-backend
#6 Updated by Joël Cuissinat about 12 years ago
- Status changed from Accepté to Résolu
- % Done changed from 0 to 100
Appliqué par commit c8025a18dc121552fe5d5d8e22b8e8190095ca73.
#7 Updated by Guillaume PITARD about 12 years ago
Salut Joël,
Bien vu je ne me rappelais plus que cette variable existait.
Dès que c'est dispo sur le 2.2, je vous fait un retour.
Cordialement,
#8 Updated by Joël Cuissinat about 12 years ago
Appliqué par commit 930115912b810fde67be20368548700641904301.
#9 Updated by Joël Cuissinat about 12 years ago
Paquet candidat 2.2 : amon-backend 2.2-eole35~1.gbpe408ac
Paquet candidat 2.3 : amon-backend-2.3-eole26~1.gbp98a2d6
#10 Updated by Joël Cuissinat about 12 years ago
- Status changed from Résolu to Fermé