Project

General

Profile

Scénario #8803

evolution amon 2.4 bypassproxy reseau

Added by arnaud bougeard over 6 years ago. Updated over 6 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
-
Category:
-
Start date:
11/24/2014
Due date:
12/05/2014
% Done:

100%

Estimated time:
(Total: 28.50 h)
Spent time:
(Total: 18.83 h)
Story points:
2.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release relationship:
Auto

Description

Bonjour,

Auparavant sur nos modules 2.2 nous avions patché l'amon afin de pouvoir bypasser le proxy
pour des réseaux ou des nom de domaine.

principe du dico:
reseau source : interface source --> port de destinataion : ( network/netmask ou Nom DNS ) destination

Sur le module 2.4 nous ne pouvons spécifier qu'une IP de destination à bypasser
Serait il possible d'ajouter cette fonctionnalité sur l'amon 2.4

Merci d'avance


Subtasks

Tâche #9804: Etude de faisabilitéFerméGwenael Remond

ERA - Tâche #9851: proxy bypassFerméGwenael Remond

ERA - Tâche #9859: Sortir les variables "proxy_bypass" du paquet eole-eraFerméJoël Cuissinat

ERA - Tâche #9890: Ajouter un "active_tag" pour les variables proxy_bypass_network_ethX/proxy_bypass_netmask_ethXFerméGwenael Remond

eole-proxy - Tâche #9891: Ajouter les variables "proxy_bypass" dans les exceptions d'authentification squidNe sera pas résolu


Related issues

Related to eole-proxy - Tâche #6950: wpad + CNTLM : les sites non authentifié ne devrait pas passer par 3127 mais 3128 Fermé 01/05/2016

History

#1 Updated by Emmanuel GARETTE over 6 years ago

  • Status changed from Nouveau to En attente d'informations
  • Priority changed from Haut to Normal

Si je comprends bien la proposition, il faudrait passer les variables era_proxy_bypass_ethX du type "ip" à "domain" (ce type autorise les noms de domaine et les IP). C'est bien cela ?

Avez-vous fait des tests dans ce sens pour voir si cela fonctionnait comme voulu ?

#2 Updated by arnaud bougeard over 6 years ago

oui type type vers reseau (ip/netmask) et nom de domane

voici le /sbin/lance.firewall obtenu sur un 2.2:

cat /tmp/lance.firewall
#!/bin/sh
  1. inclusion statique a partir du fichier 'backend/data/static_rules.sh'
  1. Reinitialisation des chaines
    /sbin/iptables -F
    /sbin/iptables -t nat -F
    /sbin/iptables -t mangle -F
  1. on vide les regles utilisateurs
    /sbin/iptables -X
    /sbin/iptables -t nat -X
    /sbin/iptables -t mangle -X
  1. mise en place de la politique par defaut
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD DROP
  1. Chargement des modules
  1. Charger le module NAT
    modprobe iptable_nat
  1. Charger le module TIME
    modprobe ipt_time
  1. activer l'anti-spoofing
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
  1. Activer le passage IP
    echo 1 > /proc/sys/net/ipv4/ip_forward
  1. inserer le module ftp
    modprobe ip_nat_ftp
  1. Insere les modules de suivie de connexion
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
  1. inserer le module tftp

modprobe ip_nat_tftp

#-------------------------------------------------------------------------------------------

  1. loopback
  1. traffic illimite autorise sur l'interface locale
    /sbin/iptables -A INPUT -i lo -j ACCEPT
    /sbin/iptables -A OUTPUT -o lo -j ACCEPT

#----------------------------------------------------------------------------------------

  1. creation de la chaine icmp accept
    /sbin/iptables -N icmp-acc
  2. creation de la chaine marquage
    /sbin/iptables -t mangle -N marquage
  3. definition de la chaine icmp-acc
    /sbin/iptables -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
    /sbin/iptables -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
    /sbin/iptables -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
    /sbin/iptables -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT
    /sbin/iptables -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT
  1. Creation chaine netbios-ext
    /sbin/iptables -t filter -N netbios-ext
    /sbin/iptables -t filter -A netbios-ext -p tcp --dport 135 -j DROP
    /sbin/iptables -t filter -A netbios-ext -p udp --dport 135 -j DROP
    /sbin/iptables -t filter -A netbios-ext -p tcp --dport 137:139 -j DROP
    /sbin/iptables -t filter -A netbios-ext -p udp --dport 137:139 -j DROP
    /sbin/iptables -t filter -A netbios-ext -p tcp --dport 445 -j DROP
    /sbin/iptables -t filter -A netbios-ext -p udp --dport 445 -j DROP
  1. Creation chaine bypass
/sbin/iptables -t nat -N BYPASS
/sbin/iptables -t nat -A PREROUTING -i eth1 -s 10.78.29.0/255.255.255.0 -p tcp --dport 443 -j BYPASS
/sbin/iptables -t nat -A PREROUTING -i eth1 -s 10.78.29.0/255.255.255.0 -p tcp --dport 80 -j BYPASS
  1. Fin de l'inclusion statique a partir du fichier 'backend/data/static_rules.sh'
  1. Creation des chaines zone-zone
    /sbin/iptables -t filter -N ext-ext
    /sbin/iptables -t filter -N ext-dmz
    /sbin/iptables -t filter -N ext-ped
    /sbin/iptables -t filter -N ext-adm
    /sbin/iptables -t filter -N ext-bas
    /sbin/iptables -t filter -N dmz-ext
    /sbin/iptables -t filter -N dmz-dmz
    /sbin/iptables -t filter -N dmz-ped
    /sbin/iptables -t filter -N dmz-adm
    /sbin/iptables -t filter -N dmz-bas
    /sbin/iptables -t filter -N ped-ext
    /sbin/iptables -t filter -N ped-dmz
    /sbin/iptables -t filter -N ped-ped
    /sbin/iptables -t filter -N ped-adm
    /sbin/iptables -t filter -N ped-bas
    /sbin/iptables -t filter -N adm-ext
    /sbin/iptables -t filter -N adm-dmz
    /sbin/iptables -t filter -N adm-ped
    /sbin/iptables -t filter -N adm-adm
    /sbin/iptables -t filter -N adm-bas
    /sbin/iptables -t filter -N bas-ext
    /sbin/iptables -t filter -N bas-dmz
    /sbin/iptables -t filter -N bas-ped
    /sbin/iptables -t filter -N bas-adm
    /sbin/iptables -t filter -N bas-bas
    /sbin/iptables -t filter -A ext-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A ext-ped -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A ext-adm -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A ext-bas -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A dmz-ext -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A dmz-ped -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A dmz-adm -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A dmz-bas -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A ped-ext -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A ped-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A ped-adm -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A ped-bas -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A adm-ext -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A adm-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A adm-ped -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A adm-bas -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A bas-ext -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A bas-dmz -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A bas-ped -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A bas-adm -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -t filter -A INPUT -p icmp -i eth0 -j icmp-acc
    /sbin/iptables -t filter -A INPUT -p icmp -i eth0.30 -j icmp-acc
    /sbin/iptables -t filter -A INPUT -p icmp -i eth2 -j icmp-acc
    /sbin/iptables -t filter -A INPUT -p icmp -i eth1 -j icmp-acc
    /sbin/iptables -t filter -A FORWARD -o eth0 -j netbios-ext
  1. Regles montantes entre <zone:exterieur> et <zone:bastion>
    1. administration Amon exterieure
      /sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8090 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8090 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8501 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8501 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 4200 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 4200 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p icmp --icmp-type echo-request -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p icmp --icmp-type echo-request -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 195.83.97.192/255.255.255.248 -d 172.17.241.146 -j ACCEPT

/sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 172.31.130.0/255.255.255.192 -d 172.17.241.146 -j ACCEPT

  1. pas de description
    /sbin/iptables -t filter -A ext-bas -m state --state NEW -p tcp --dport 8443 --tcp-flags SYN,RST,ACK SYN -i eth0 -s 0/0 -d 172.17.241.146 -j ACCEPT
  1. Regles descendantes entre <zone:exterieur> et <zone:bastion>
  2. Regles montantes entre <zone:exterieur> et <zone:dmz>
  3. Regles descendantes entre <zone:exterieur> et <zone:dmz>
  4. Regles montantes entre <zone:bastion> et <zone:dmz>
    /sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 172.24.0.0/255.248.0.0 -d 172.17.247.202 -j ACCEPT

/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 10.78.0.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT

/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 10.178.0.0/255.255.0.0 -d 172.17.247.202 -j ACCEPT

/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 192.168.191.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT

/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 192.168.192.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT

/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 192.168.195.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT

/sbin/iptables -t filter -A dmz-bas -m state --state NEW -i eth0.30 -s 192.168.214.0/255.255.255.0 -d 172.17.247.202 -j ACCEPT

  1. Regles descendantes entre <zone:bastion> et <zone:dmz>
  2. Regles montantes entre <zone:exterieur> et <zone:pedago>
  3. Regles descendantes entre <zone:exterieur> et <zone:pedago>
    /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/255.255.255.0 -d 0/0 -j SNAT --to-source 172.17.241.146
    1. pedago -> exterieur : interdire les protocoles de news, forums ... : INACTIVE
    2. Interdire les connexions FTP : INACTIVE
    3. pedago -> exterieur : interdire les protocoles de discussion en ligne (irc ...) : INACTIVE
    4. pedago -> exterieur : interdire les protocoles de messagerie (pop, imap ...) : INACTIVE
    5. pedago -> exterieur : tout interdire (sauf le web via le proxy) : INACTIVE
      /sbin/iptables -t filter -A ped-bas -i eth2 -p tcp --dport 3128 -j ACCEPT
      /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
      /sbin/iptables -t nat -A PREROUTING -p tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
      /sbin/iptables -t nat -A PREROUTING -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
      /sbin/iptables -t nat -A PREROUTING -p tcp --dport 8080 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
      /sbin/iptables -t filter -A ped-ext -i eth2 -o eth0 -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
  4. Regles montantes entre <zone:dmz> et <zone:pedago>
    /sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 172.24.0.0/255.248.0.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 10.78.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 10.178.0.0/255.255.0.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 192.168.191.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 192.168.192.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 192.168.195.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-ped -m state --state NEW -i eth0.30 -o eth2 -s 192.168.214.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

  1. Regles descendantes entre <zone:dmz> et <zone:pedago>
  2. Regles montantes entre <zone:bastion> et <zone:pedago>
    1. Autoriser l'administration d'Amon depuis le reseau pedagogique
      /sbin/iptables -t filter -A ped-bas -m state --state NEW -p udp --dport 53 -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
      /sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport 53 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
      /sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
    2. Autoriser les connexions au port 4129 (NuAuth) depuis pedago : INACTIVE
      /sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport 8443 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
      /sbin/iptables -t filter -A ped-bas -m state --state NEW -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth2 -s 0/0 -d 192.168.1.246 -j ACCEPT
  3. Regles descendantes entre <zone:bastion> et <zone:pedago>
  4. Regles montantes entre <zone:exterieur> et <zone:admin>
  5. Regles descendantes entre <zone:exterieur> et <zone:admin>
    /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 10.78.29.0/255.255.255.0 -d 0/0 -j SNAT --to-source 172.17.241.146
    /sbin/iptables -t filter -A adm-bas -i eth1 -p tcp --dport 3128 -j ACCEPT
    /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
    /sbin/iptables -t nat -A PREROUTING -p tcp --dport 443 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
    /sbin/iptables -t nat -A PREROUTING -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
    /sbin/iptables -t nat -A PREROUTING -p tcp --dport 8080 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 0/0 -j REDIRECT --to-ports 3128
    /sbin/iptables -t filter -A adm-ext -i eth1 -o eth0 -s 10.78.29.0/255.255.255.0 -d 0/0 -j ACCEPT
  6. Regles montantes entre <zone:dmz> et <zone:admin>
    /sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 172.24.0.0/255.248.0.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 10.78.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 10.178.0.0/255.255.0.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 192.168.191.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 192.168.192.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 192.168.195.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

/sbin/iptables -t filter -A dmz-adm -m state --state NEW -i eth0.30 -o eth1 -s 192.168.214.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j ACCEPT

  1. Regles descendantes entre <zone:dmz> et <zone:admin>
  2. Regles montantes entre <zone:pedago> et <zone:admin>
  3. Regles descendantes entre <zone:pedago> et <zone:admin>
  4. Regles montantes entre <zone:bastion> et <zone:admin>
    /sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 8090 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT

/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 8501 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT

/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 4200 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT

/sbin/iptables -t filter -A adm-bas -m state --state NEW -p icmp --icmp-type echo-request -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT

/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0.0.0.0/0.0.0.0 -d 10.78.29.246 -j ACCEPT

/sbin/iptables -t filter -A adm-bas -m state --state NEW -p udp --dport 53 -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 53 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
/sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
  1. Autoriser les connexions au port 4129 (NuAuth) depuis admin : INACTIVE
    /sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 8443 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
    /sbin/iptables -t filter -A adm-bas -m state --state NEW -p tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -i eth1 -s 0/0 -d 10.78.29.246 -j ACCEPT
  1. Regles descendantes entre <zone:bastion> et <zone:admin>
  1. logger le reste
    /sbin/iptables -A ext-bas -m limit --limit 120/min -i eth0 -j ULOG --ulog-prefix "tentative connexion de : "
  1. Paquets contenant la zone exterieur
    /sbin/iptables -t filter -A ext-bas -i eth0 -s 0/0 -d 0/0 -j DROP
  2. Paquets contenant la zone dmz
    /sbin/iptables -t filter -A dmz-ext -i eth0.30 -o eth0 -s 0/0 -d 0/0 -j ACCEPT
    /sbin/iptables -t filter -A ext-dmz -i eth0 -o eth0.30 -s 0/0 -d 0/0 -j DROP
    /sbin/iptables -t filter -A dmz-bas -i eth0.30 -s 0/0 -d 0/0 -j DROP
  3. Paquets contenant la zone pedago
    /sbin/iptables -t filter -A ped-ext -i eth2 -o eth0 -s 0/0 -d 0/0 -j ACCEPT
    /sbin/iptables -t filter -A ext-ped -i eth0 -o eth2 -s 0/0 -d 0/0 -j DROP
    /sbin/iptables -t filter -A ped-dmz -i eth2 -o eth0.30 -s 0/0 -d 0/0 -j ACCEPT
    /sbin/iptables -t filter -A dmz-ped -i eth0.30 -o eth2 -s 0/0 -d 0/0 -j DROP
    /sbin/iptables -t filter -A ped-bas -i eth2 -s 0/0 -d 0/0 -j DROP
  4. Paquets contenant la zone admin
    /sbin/iptables -t filter -A adm-ext -i eth1 -o eth0 -s 0/0 -d 0/0 -j ACCEPT
    /sbin/iptables -t filter -A ext-adm -i eth0 -o eth1 -s 0/0 -d 0/0 -j DROP
    /sbin/iptables -t filter -A adm-dmz -i eth1 -o eth0.30 -s 0/0 -d 0/0 -j ACCEPT
    /sbin/iptables -t filter -A dmz-adm -i eth0.30 -o eth1 -s 0/0 -d 0/0 -j DROP
    /sbin/iptables -t filter -A adm-ped -i eth1 -o eth2 -s 0/0 -d 0/0 -j ACCEPT
    /sbin/iptables -t filter -A ped-adm -i eth2 -o eth1 -s 0/0 -d 0/0 -j DROP
    /sbin/iptables -t filter -A adm-bas -i eth1 -s 0/0 -d 0/0 -j DROP
  1. Renvoi vers nos chaines pour le INPUT
    /sbin/iptables -t filter -A INPUT -i eth0 -j ext-bas
    /sbin/iptables -t filter -A INPUT -i eth0.30 -j dmz-bas
    /sbin/iptables -t filter -A INPUT -i eth2 -j ped-bas
    /sbin/iptables -t filter -A INPUT -i eth1 -j adm-bas
  2. Renvoi vers nos chaines pour le FORWARD
    /sbin/iptables -t filter -A FORWARD -i eth0 -o eth0 -j ext-ext
    /sbin/iptables -t filter -A FORWARD -i eth0 -o eth0.30 -j ext-dmz
    /sbin/iptables -t filter -A FORWARD -i eth0 -o eth2 -j ext-ped
    /sbin/iptables -t filter -A FORWARD -i eth0 -o eth1 -j ext-adm
    /sbin/iptables -t filter -A FORWARD -i eth0.30 -o eth0 -j dmz-ext
    /sbin/iptables -t filter -A FORWARD -i eth0.30 -o eth0.30 -j dmz-dmz
    /sbin/iptables -t filter -A FORWARD -i eth0.30 -o eth2 -j dmz-ped
    /sbin/iptables -t filter -A FORWARD -i eth0.30 -o eth1 -j dmz-adm
    /sbin/iptables -t filter -A FORWARD -i eth2 -o eth0 -j ped-ext
    /sbin/iptables -t filter -A FORWARD -i eth2 -o eth0.30 -j ped-dmz
    /sbin/iptables -t filter -A FORWARD -i eth2 -o eth2 -j ped-ped
    /sbin/iptables -t filter -A FORWARD -i eth2 -o eth1 -j ped-adm
    /sbin/iptables -t filter -A FORWARD -i eth1 -o eth0 -j adm-ext
    /sbin/iptables -t filter -A FORWARD -i eth1 -o eth0.30 -j adm-dmz
    /sbin/iptables -t filter -A FORWARD -i eth1 -o eth2 -j adm-ped
    /sbin/iptables -t filter -A FORWARD -i eth1 -o eth1 -j adm-adm
    1. inclusion statique a partir du fichier 'backend/data/end_static_rules.sh'
      /sbin/iptables -t nat -A BYPASS -d 10.0.0.0/255.0.0.0 -j ACCEPT
      /sbin/iptables -t nat -A BYPASS -d 172.24.0.0/255.248.0.0 -j ACCEPT
      /sbin/iptables -t nat -A BYPASS -d 192.168.0.0/255.255.0.0 -j ACCEPT
      /sbin/iptables -t nat -A BYPASS -d 161.48.0.0/255.255.224.0 -j ACCEPT
      /sbin/iptables -t nat -A BYPASS -d eu-meterservices.neopost.com -j ACCEPT
      /sbin/iptables -t nat -A BYPASS -d fr-meterservices.neopost.com -j ACCEPT
      /sbin/iptables -t nat -A BYPASS -d bv.ac-versailles.fr -j ACCEPT

#------------------------------------------------------------------------------

  1. Prise en compte de la chaine "marquage"
    iptables -t mangle -I INPUT -j marquage
    iptables -t mangle -I FORWARD -j marquage
    iptables -t mangle -I OUTPUT -j marquage
dmesg -n 1
  1. Fin de l'inclusion statique a partir du fichier 'backend/data/end_static_rules.sh'

/sbin/iptables nL |grep "nuit" 2>&1 >/dev/null

if [ $? == "0" ]
then
/sbin/iptables -F nuit-input
/sbin/iptables -F nuit-forward
/sbin/iptables -D FORWARD -j nuit-forward
/sbin/iptables -D INPUT -j nuit-input
/sbin/iptables -X nuit-forward
/sbin/iptables -X nuit-input
fi

/sbin/iptables -N nuit-input
/sbin/iptables -N nuit-forward
/sbin/iptables -t filter -A nuit-input -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A nuit-forward -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 4200 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 8090 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 7080 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 22 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 195.83.97.192/255.255.255.248 --dport 53 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 4200 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 8090 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 7080 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 22 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth0 -s 172.31.130.0/255.255.255.192 --dport 53 -j ACCEPT
/sbin/iptables -A nuit-input -i eth0 -j DROP
/sbin/iptables -A nuit-forward -i eth0 -j DROP
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 4200 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 8090 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 7080 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 22 -j ACCEPT
/sbin/iptables -A nuit-input -p tcp -i eth1 -s 0.0.0.0/0.0.0.0 --dport 53 -j ACCEPT
/sbin/iptables -A nuit-input -i eth1 -j DROP
/sbin/iptables -A nuit-forward -i eth1 -j DROP
/sbin/iptables -A nuit-input -i eth2 -j DROP
/sbin/iptables -A nuit-forward -i eth2 -j DROP

#3 Updated by arnaud bougeard over 6 years ago

  • Status changed from En attente d'informations to Nouveau

#4 Updated by arnaud bougeard over 6 years ago

serait il possible de lier ces variables era_bypass_proxy aux variables exclusion de proxy dans l'onglet wpad ?

#5 Updated by Emmanuel GARETTE over 6 years ago

Voire aussi au noauth de squid (comme décrit dans #6950).

#6 Updated by arnaud bougeard over 6 years ago

Bonjour,
nous avons besoin de cette fonctionnalité avant de lancer le deploiement des 2.4.
serait il possible d'ajouter cette possiblité d'élagir à un réseau la variable %%era_proxy_bypass_eth1 rapidement ?

#7 Updated by Luc Bourdot over 6 years ago

  • Tracker changed from Evolution to Scénario
  • Start date deleted (09/09/2014)
  • Release set to Mises à jour 2.4.1

Evaluer la charge de réalisation de cette demande

#8 Updated by Luc Bourdot over 6 years ago

  • Target version set to sprint 2014 48-49

#9 Updated by Luc Bourdot over 6 years ago

  • Due date set to 12/05/2014
  • Start date set to 11/24/2014
  • Story points set to 2.0

#10 Updated by Joël Cuissinat over 6 years ago

  • Status changed from Nouveau to Terminé (Sprint)

#11 Updated by arnaud bougeard over 6 years ago

apres test, la solution ne semble pas convenir.
en effet, ipset génère des listes trop longues (nous avons des reseaux bypassés trop larges racine+agriate)
et cette erreur au rédémarrage du bastion:

"ipset v6.11: Hash is full, cannot add more elements"

#12 Updated by Joël Cuissinat over 6 years ago

arnaud bougeard a écrit :

apres test, la solution ne semble pas convenir.
en effet, ipset génère des listes trop longues (nous avons des reseaux bypassés trop larges racine+agriate)
et cette erreur au rédémarrage du bastion:

"ipset v6.11: Hash is full, cannot add more elements"

Je crois que Fabrice vient de corriger ce problème : #10047
NB : il faut éviter d'ajouter des commentaires dans des demandes déjà fermées car nous risquons de passer à côté ;)

Also available in: Atom PDF