Support des helper sur Amon¶

Depuis l'*extérieur*, pour accéder au service FTP, SIP, H.323, ... (sur EOLE on utilise "FTP" et "TFTP" par défaut).

Pour une directive particulière (FTP, ...), il faut maintenant définir le helper associé.

Il est possible d'ajouter un champs dans l'onglet service (un peut comme tcpwrapper) :

Ensuite il faut enregistrer l'information dans le fichier (donc changer le format du fichier XML en 2.10).

Enfin, si une directive contient un service qui a un "helper", il faut généré un règle implicite à partir de cette information.

Il est donc nécessaire :

- de supprimer le chargement des modules pour FTP et TFTP ;
- de modifier le frontend GTK pour ajouter le champs et le sauvegarder ;
- de modifier le générateur de règles iptables ;
- de revoir la documentation de Era.

Support des HELPER sur Scribe¶

Depuis l'*intérieur* et l'*extérieur* il faut autorisé l'accès au FTP :

iptables -I PREROUTING -t raw -p tcp --dport 21 -j CT --helper ftp
iptables -A INPUT -m conntrack --ctstate RELATED -m helper --helper ftp -p tcp --dport 1024: -j ACCEPT

Il faut adapter la règle pour définir la source et/ou la destination.

Ces règles peuvent être mise dans le template "11-proftpd".

Deux points d'attention annexe :

- quand je fais un "bastion regen" j'ai les erreurs suivantes :

 * Regénération des règles de pare-feuERRO[0000] tearing down network namespace configuration for container a2f1289cf2e6e74c40e9508615af633208764946c5021696e5dee14ec7ff5cf7: netavark: code: 1, msg: iptables: No chain/target/match by that name. 

- la règle de pré routing n'est pas supprimé :

root@scribe:~# iptables-save|grep helper
-A PREROUTING -p tcp -m tcp --dport 21 -j CT --helper ftp
-A INPUT -p tcp -m conntrack --ctstate RELATED -m helper --helper ftp -m tcp --dport 1024:65535 -j ACCEPT
root@scribe:~# bastion regen
                                                                                                                                                                                                                                       [ OK ]
 * Regénération des règles de pare-feuERRO[0000] tearing down network namespace configuration for container a2f1289cf2e6e74c40e9508615af633208764946c5021696e5dee14ec7ff5cf7: netavark: code: 1, msg: iptables: No chain/target/match by that name. 
                                                                                                                                                                                                                                       [ OK ]
 * Mise en cache des règles de pare-feu                                                                                                                                                                                                [ OK ] 
 * Restauration des règles de pare-feu en cache                                                                                                                                                                                               ERRO[0000] tearing down network namespace configuration for container a2f1289cf2e6e74c40e9508615af633208764946c5021696e5dee14ec7ff5cf7: netavark: code: 1, msg: iptables: No chain/target/match by that name. 
                                                                                                                                                                                                                                       [ OK ]
root@scribe:~# iptables-save|grep helper
-A PREROUTING -p tcp -m tcp --dport 21 -j CT --helper ftp