Project

General

Profile

Anomalie #4488

Critique de principes fondamentaux d'ERA

Added by Thierry Chich about 10 years ago. Updated over 8 years ago.

Status:
Classée sans suite
Priority:
Normal
Assigned To:
Category:
-
Target version:
-
Start date:
11/26/2012
Due date:
% Done:

0%

Distribution:
Toutes

Description

Bonjour,

Il y a au moins deux points qui sont problématiques sur ERA et que j'aimerai que nous évoquions ensemble:

1) Les flux
ERA fonctionne de la manière suivante d'une zone A à une zone B, tout le trafic est interdit sauf quelques règles d'autorisation, ou bien tout est autorisé sauf quelques règles d'interdiction.

Pour moi, ce principe est critiquable. Dans la majorité des cas, il suffit, mais il m'est arrivé plus d'une fois d'être dans l'incapacité d'exprimer quelque chose, ce qui est vraiment problématique.
Quelques chose d'aussi simple que
- les machines x et y n'ont pas accès à la zone B
- toutes les machines de A ont accès au port 80 et 443 sur la zone B
- tout le reste est interdit
ne sera pas exprimable, sauf à utiliser une règle de fin du type
réseau de A vers B interdit (et qui irait donc juste devant une règle par défaut autorisant tout).

Pour moi, il est donc impératif de pouvoir écrire des règles autorisant et des règles interdictions quelque soit la définition du flux par défaut.

2) les règles de NAT sont insérées dans les règles de flux (d'une zone A à une zone B). Or, les règles de prerouting qui sont engendrées ne contiennent absolument pas de référence à la zone B.
Par exemple:
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN
-i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
est engendré par une règle admin vers ext. Mais du coup, elle s'applique pour tout ce qui vient d'admin vers tous les réseaux.
C'est trompeur et du coup, potentiellement dangereux.

Cordialement

Associated revisions

Revision faef00cb (diff)
Added by moyooo over 9 years ago

validation link on menu see #4488

Revision c3e37a3f (diff)
Added by tsmr over 9 years ago

validation link on menu see #4488

History

#1 Updated by Gwenael Remond about 10 years ago

  • Project changed from Amon to ERA

#2 Updated by Gwenael Remond about 10 years ago

  • Status changed from Nouveau to A étudier
  • Assigned To set to Luc Bourdot

#3 Updated by Redmine Admin over 8 years ago

  • Status changed from A étudier to Ne sera pas résolu

#4 Updated by Redmine Admin over 8 years ago

  • Status changed from Ne sera pas résolu to Classée sans suite

Also available in: Atom PDF