Tâche #6313
Scénario #10136: Finaliser le portage de la doc module Amon 2.4.1
Documenter la gestion du pare-feu en 2.4
Description
La section portée depuis 2.3 (Gestion du pare-feu eole-firewall - 09b-eole-firewall.scen) est à revoir pour 2.4, je l'ai donc sortie de la doc (inclusion commentée dans 00-personnalisation.scen).
Je propose d'attendre de voir comment vont évoluer les demandes liées avant de reprendre cette section.
Related issues
History
#1 Updated by Joël Cuissinat almost 10 years ago
- Target version changed from Maj doc 2.4-RC1 to Maj doc 2.4 - TODO
#2 Updated by Emmanuel GARETTE over 9 years ago
Voici le fonctionnement actuel :
autorisation¶
Autoriser un port (XXX) pour un service (YYY)
<service_access service='YYY'>
<port>XXX</port>
</service_access>
Avec tcpwrapper :
<tcpwrapper>YYY</tcpwrapper>
Port avec variable (ZZZ):
<port port_type="SymLinkOption">ZZZ</port>
List (WWW) pour port/tcpwrapper
<port service_accesslist="WWW">XXX</port> <tcpwrapper service_accesslist="WWW">YYY</tcpwrapper>
restriction¶
Si on ne définit que les service_accesses, le port est ouvert pour tout le monde sur toutes les interfaces.
Pour ajouter des restrictions il faut ajouter :
<service_restriction service='YYY'>
<ip interface='eth0'>1.1.1.1</ip>
<:service_restriction>
Dans ce cas, seul l'IP 1.1.1.1 peut accéder à ce service.
Il est possible d'utiliser des variables :
<ip interface='auto' ip_type='SymLinkOption'>variable</ip>
Et un netmask :
<ip interface='eth0' netmask="255.255.255.0" ip_type='SymLinkOption'>variable</ip> <ip interface='eth1' netmask="variable_netmask" netmask_type='SymlinkOption' ip_type='SymLinkOption'>variable</ip>
interface peut être : ethX, all (pour toutes les interfaces), auto (calcule l'interface via la route) ou une variable (avec l'ajout de interface_type="SymlinkOption").
Il est aussi possible de mettre service_restrictionlist au balise IP.
particularités¶
les doublons¶
S'il y a plusieurs règles sur une interface/port, c'est la dernière règle qui est appliqué (par exemple 20_apache.xml redirige le port 80 dans le conteneur, 25_nginx.xml ouvert le port 80, c'est l'ouverture du port qui est fait).
l'activation des règles¶
Si le nom du service du service correspond à un balise service connu dans le conteneur, les requires du service sont appliqués aux accès/restrictions. Il n'est pas possible de les remettre.
Si l'IP est une variable et que la variable n'existe pas (ou est disabled) la règle ne s'applique pas.
De la même façon un port/tcpwrapper avec une variable qui n'existe pas, il n'y a pas non plus de règle à faire.
#3 Updated by Gérald Schwartzmann about 9 years ago
- Target version changed from Maj doc 2.4 - TODO to Maj doc 2.4.1
#4 Updated by Emmanuel GARETTE almost 9 years ago
Dans la balise "port" il est également possible de spécifier le protocole (par défaut c'est TCP).
Par exemple :
<service_access service='ntp'>
<port protocol='udp'>123</port>
</service_access>
#5 Updated by Gérald Schwartzmann almost 9 years ago
- Parent task set to #8962
#6 Updated by Joël Cuissinat almost 9 years ago
- Estimated time changed from 1.00 h to 2.00 h
- Parent task deleted (
#8962) - Remaining (hours) set to 2.0
#7 Updated by Joël Cuissinat almost 9 years ago
- Parent task set to #10136
#8 Updated by Gérald Schwartzmann over 8 years ago
- Status changed from Nouveau to En cours
- Assigned To set to Gérald Schwartzmann
- Start date set to 01/20/2015
#9 Updated by Gérald Schwartzmann over 8 years ago
Ajouté ici /2_4/commun/02_miseEnOeuvre/07_personnalisation/02_dicos/02-fichiers.scen
#10 Updated by Gérald Schwartzmann over 8 years ago
- Status changed from En cours to Résolu
- % Done changed from 0 to 100
- Remaining (hours) changed from 2.0 to 0.0
#11 Updated by Joël Cuissinat over 8 years ago
- Status changed from Résolu to Fermé
Relecture rapide.