Projet

Général

Profil

Anomalie #4488

Critique de principes fondamentaux d'ERA

Ajouté par Thierry Chich il y a plus de 11 ans. Mis à jour il y a plus de 9 ans.

Statut:
Classée sans suite
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
-
Début:
26/11/2012
Echéance:
% réalisé:

0%

Distribution:
Toutes

Description

Bonjour,

Il y a au moins deux points qui sont problématiques sur ERA et que j'aimerai que nous évoquions ensemble:

1) Les flux
ERA fonctionne de la manière suivante d'une zone A à une zone B, tout le trafic est interdit sauf quelques règles d'autorisation, ou bien tout est autorisé sauf quelques règles d'interdiction.

Pour moi, ce principe est critiquable. Dans la majorité des cas, il suffit, mais il m'est arrivé plus d'une fois d'être dans l'incapacité d'exprimer quelque chose, ce qui est vraiment problématique.
Quelques chose d'aussi simple que
- les machines x et y n'ont pas accès à la zone B
- toutes les machines de A ont accès au port 80 et 443 sur la zone B
- tout le reste est interdit
ne sera pas exprimable, sauf à utiliser une règle de fin du type
réseau de A vers B interdit (et qui irait donc juste devant une règle par défaut autorisant tout).

Pour moi, il est donc impératif de pouvoir écrire des règles autorisant et des règles interdictions quelque soit la définition du flux par défaut.

2) les règles de NAT sont insérées dans les règles de flux (d'une zone A à une zone B). Or, les règles de prerouting qui sont engendrées ne contiennent absolument pas de référence à la zone B.
Par exemple:
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN
-i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
est engendré par une règle admin vers ext. Mais du coup, elle s'applique pour tout ce qui vient d'admin vers tous les réseaux.
C'est trompeur et du coup, potentiellement dangereux.

Cordialement

Révisions associées

Révision faef00cb (diff)
Ajouté par moyooo il y a plus de 10 ans

validation link on menu see #4488

Révision c3e37a3f (diff)
Ajouté par tsmr il y a plus de 10 ans

validation link on menu see #4488

Historique

#1 Mis à jour par Gwenael Remond il y a plus de 11 ans

  • Projet changé de Amon à ERA

#2 Mis à jour par Gwenael Remond il y a environ 11 ans

  • Statut changé de Nouveau à A étudier
  • Assigné à mis à Luc Bourdot

#3 Mis à jour par Redmine Admin il y a plus de 9 ans

  • Statut changé de A étudier à Ne sera pas résolu

#4 Mis à jour par Redmine Admin il y a plus de 9 ans

  • Statut changé de Ne sera pas résolu à Classée sans suite

Formats disponibles : Atom PDF