https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2013-07-04T09:47:44ZEnsemble Ouvert Libre Évolutifeole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=208622013-07-04T09:47:44ZEmmanuel GARETTE
<ul></ul><p>Proposition :</p>
<p>rajouter le port/tcpwrapper/protocol dans la balise service.</p>
<p>Par exemple :</p>
<pre>
<service port="80" tcpwrapper="httpd">apache2</service>
</pre>
<p>Puis pouvoir rajouter des règles de firewall type :</p>
<pre>
<firewall service='apache2' ....>
</pre> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=208912013-07-05T09:54:12ZDaniel Dehennin
<ul></ul><p>Voici une idée de balisage pour les services :</p>
<pre><code class="xml syntaxhl"><span class="CodeRay"><span class="tag"><services></span>
<span class="comment"><!-- New service --></span>
<span class="tag"><service></span>
<span class="tag"><name></span>
bidule
<span class="tag"></name></span>
<span class="tag"><tcpwrapper></span>
bidule
<span class="tag"></tcpwrapper></span>
<span class="tag"><ports></span>
<span class="tag"><port></span>42<span class="tag"></port></span>
<span class="tag"><port></span>4242<span class="tag"></port></span>
<span class="tag"></ports></span>
<span class="tag"></service></span>
<span class="tag"><service></span>
<span class="tag"><name></span>
chose
<span class="tag"></name></span>
<span class="tag"><ports></span>
<span class="comment"><!--
<port-start/end /> are exclusive with <port />
--></span>
<span class="tag"><port-start></span>43<span class="tag"></port-start></span>
<span class="tag"><port-end></span>48<span class="tag"></port-end></span>
<span class="tag"></ports></span>
<span class="tag"></service></span>
<span class="comment"><!-- Redefine a service --></span>
<span class="tag"><service></span>
<span class="tag"><name></span>
truc
<span class="tag"></name></span>
<span class="comment"><!--
Delete any tcpwrapper settings
Just define an empty element
--></span>
<span class="tag"><tcpwrapper</span> <span class="tag">/></span>
<span class="tag"></service></span>
<span class="tag"></services></span>
</span></code></pre>
<p>Embarquer des sous éléments au lieu d’attributs permet d’intégrer plus de choses, par exemple pour les variables on pourrait y mettre l’aide et les contraintes ;-)</p> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=209062013-07-05T13:28:13ZEmmanuel GARETTE
<ul></ul><p>Le problème c'est que cela casse la compatibilité avec la 2.3.</p>
<p>Je propose la solution suivante :</p>
<p>- pas de modification de la balise <service/><br />- ajout de la base <service_access/> suivante :</p>
<pre>
<service_access name="nom_du_service">
<ports>...</ports>
<tcpwrappers>...</tcpwrappers>
</service>
</pre> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=212212013-07-19T15:22:22ZEmmanuel GARETTE
<ul><li><strong>Tracker</strong> changé de <i>Anomalie</i> à <i>Evolution</i></li><li><strong>% réalisé</strong> changé de <i>0</i> à <i>40</i></li></ul><pre>
<containers>
<container name="proxy" id='20'>
<service method='upstart'>squid3</service>
<service_access service='squid3'>
<port type="SymLinkOption">test_port</port>
<port>3129</port>
</service_access>
<service_restriction service='squid3'>
<ip interface='eth0'>192.168.1.1</ip>
<ip interface='eth1' netmask='netmask_admin_eth0' type_netmask='SymLinkOption' type_ip='SymLinkOption'>ip_admin_eth0</ip>
</service_restriction>
</container>
</containers>
</pre>
<p>La déclaration se fait donc en 3 temps :</p>
<pre><code>- déclaration du service en tant que tel :<br /> - déclaration des accès (port + tcpwrapper)<br /> - déclaration des autorisations (0/0 sinon)</code></pre>
<p>Cela génère 3 templates :</p>
<pre><code>- hosts.allow pour tcpwrapper<br /> - nat_rules.sh pour restreindre les accès au niveau iptables<br /> - ouvre.firewall pour ajouter uniquement les règles de nat</code></pre>
<p>Reste à faire :</p>
<pre><code>- valider le fonctionnement ;<br /> - lancer le script avec les règles de firewall.</code></pre> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=214502013-07-26T14:18:33ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Version cible</strong> changé de <i>Eole 2.4-dev-3</i> à <i>Eole 2.4-alpha</i></li></ul> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=218802013-09-04T08:17:16ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Version cible</strong> <del><i>Eole 2.4-alpha</i></del> supprimé</li></ul> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=255102014-01-03T13:29:34ZEmmanuel GARETTE
<ul><li><strong>Version cible</strong> mis à <i>Eole 2.4-beta3</i></li></ul> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=256172014-01-07T10:01:02ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Version cible</strong> changé de <i>Eole 2.4-beta3</i> à <i>Eole 2.4-RC2</i></li></ul> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=258352014-01-13T11:36:56ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Assigné à</strong> mis à <i>Emmanuel GARETTE</i></li><li><strong>Version cible</strong> changé de <i>Eole 2.4-RC2</i> à <i>Eole 2.4-RC1</i></li></ul> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=259062014-01-14T10:58:02ZEmmanuel GARETTE
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Résolu</i></li><li><strong>% réalisé</strong> changé de <i>40</i> à <i>100</i></li></ul><p>Appliqué par commit <a class="changeset" title="mise à jour des règles de firewall (fixes #5723) (fixes #6959)" href="https://dev-eole.ac-dijon.fr/projects/eole-annuaire/repository/revisions/f92d9c09ba039bdf66a7ded5ca0b528b8426ad6f">eole-annuaire:f92d9c09ba039bdf66a7ded5ca0b528b8426ad6f</a>.</p> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=259292014-01-15T08:55:16ZFabrice Barconnièrefabrice.barconniere@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Echéance</strong> mis à <i>17/01/2014</i></li><li><strong>Version cible</strong> changé de <i>Eole 2.4-RC1</i> à <i>Eole 2.4-beta3</i></li></ul><p>paquet refait</p> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=261442014-01-20T10:08:34ZGilles GrandgérardGilles.Grandgerard@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Assigné à</strong> changé de <i>Emmanuel GARETTE</i> à <i>Gilles Grandgérard</i></li></ul> eole-common - Evolution #5723: eole-firewall : séparation des accès aux services des restrictions d'accèshttps://dev-eole.ac-dijon.fr/issues/5723?journal_id=263262014-01-22T14:49:46ZGilles GrandgérardGilles.Grandgerard@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li></ul><p>incomplet en bêta 3, se poursuit en RC1 sous forme de demandes particulières.<br />Les évolutions liées à cette demande sont validées par les demandes suivantes (RC1)</p>