Anomalie #1871: Règles de firewall générées par l'EAD trop large. - amon-backend - Ensemble Ouvert Libre Évolutif

Anomalie #1871

Règles de firewall générées par l'EAD trop large.

Ajouté par Guillaume PITARD il y a presque 13 ans. Mis à jour il y a plus de 12 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Joël Cuissinat

Catégorie:

-

Version cible:

Distribution EOLE - Mises à jour 2.2.3 - 02 RC

Début:

20/06/2011

Echéance:

% réalisé:

100%

Temps passé:

Distribution:

Description

Bonjour,

Dans la suppression des SLIS sur les réseaux PEDA, les administrateurs d'établissement commence à utiliser l'EAD pour définir finement la politique de sécurité de leurs établissements. Ainsi ils créent dans l'ead des groupes de machines, et interdise ou
autorise l'accès au web de celles-ci au fils de la journée. Hélas les règles générées par l'EAD ne sont pas assez précises et ainsi un groupe de machines pour lequel on souhaite couper l'internet va également être coupées des DMZ de l'établissement. De notre cas le résultat obtenu est l’impossibilité pour les clients anti-virus de ce mettre à jour (utilisation du port 8080), par
exemple, ou encore l'impossibilité d'accéder à un serveur web hébergé sur une DMZ (pronote-relai, bcdi-web...)

Pour tenter de corrigé ce problème j'ai modifié le fichier /usr/share/python-support/python-amon-backend/amon/ipset/iptables_generator.py comme ci-joint.
J'ai ajouté déclaré dans la règle iptables l'interface de sortie eth0 pour que seuls les flux traversant l'amon et sortant sur eth0 (en destination de l'internet) soient coupés.
Ainsi les flux inter zones sont préservés.

Cordialement,

patch.txt Voir (729 octets) Guillaume PITARD, 20/06/2011 10:21

Demandes liées

Révisions associées

Révision c8025a18 (diff)
Ajouté par Joël Cuissinat il y a plus de 12 ans

Spécification de l'interface de sortie pour les règles interdisant le web (fixes #1871)

Révision 93011591 (diff)
Ajouté par Joël Cuissinat il y a plus de 12 ans

Spécification de l'interface de sortie pour les règles interdisant le web [2.3] (fixes #1871)

Révision 98a2d66b (diff)
Ajouté par Joël Cuissinat il y a plus de 12 ans

mise à niveau des tests unitaires (ref #1871)

Révision 83ae60da (diff)
Ajouté par Joël Cuissinat il y a plus de 12 ans

mise à niveau des tests unitaires (ref #1871)

Historique

#1 Mis à jour par Luc Bourdot il y a presque 13 ans

Statut changé de Nouveau à Accepté
Assigné à changé de Luc Bourdot à Bruno Boiget
Priorité changé de Haut à Normal
Version cible ~~Mises à jour 2.2.3 - 01 Stable~~ supprimé

Pour avis

#2 Mis à jour par Joël Cuissinat il y a presque 13 ans

Version cible mis à Mises à jour 2.2.3 - 02 RC

#3 Mis à jour par Bruno Boiget il y a plus de 12 ans

Assigné à changé de Bruno Boiget à Fabrice Barconnière

impact de la modification à vérifier avant intégration

#4 Mis à jour par Joël Cuissinat il y a plus de 12 ans

Assigné à changé de Fabrice Barconnière à Joël Cuissinat

OK, on a trouvé où c'était et d'ailleurs l'option "-o" est présente lorsque l'on passe par "Sources et destinations".

Dans l'idéal, il faudrait utiliser la variable "interface_gw" et reporter la modification sur 2.3.

#5 Mis à jour par Joël Cuissinat il y a plus de 12 ans

Projet changé de Amon à amon-backend

#6 Mis à jour par Joël Cuissinat il y a plus de 12 ans

Statut changé de Accepté à Résolu
% réalisé changé de 0 à 100

Appliqué par commit c8025a18dc121552fe5d5d8e22b8e8190095ca73.

#7 Mis à jour par Guillaume PITARD il y a plus de 12 ans

Salut Joël,
Bien vu je ne me rappelais plus que cette variable existait.
Dès que c'est dispo sur le 2.2, je vous fait un retour.
Cordialement,

#8 Mis à jour par Joël Cuissinat il y a plus de 12 ans

Appliqué par commit 930115912b810fde67be20368548700641904301.

#9 Mis à jour par Joël Cuissinat il y a plus de 12 ans

Paquet candidat 2.2 : amon-backend 2.2-eole35~1.gbpe408ac
Paquet candidat 2.3 : amon-backend-2.3-eole26~1.gbp98a2d6

#10 Mis à jour par Joël Cuissinat il y a plus de 12 ans

Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF